Zgłoś incydent
Zgłoś incydent

Krytyczna podatność w Fortinet FortiOS SSL-VPN (CVE-2022-42475)

Fortinet opublikował informację o krytycznej podatności CVE-2022-42475 pozwalającej na zdalne wykonanie kodu bez uwierzytelniania w module SSL-VPN (sslvpnd) dla FortiOS. Podatność była aktywnie wykorzystywana w atakach jeszcze zanim jej istnienie zostało ujawnione. Ze względu na charakter podatności, wszystkim administratorom urządzeń Fortinet zalecamy natychmiastowe zastosowanie się do poniższych rekomendacji.

Podatne wersje i rekomendacje aktualizacji

  • FortiOS wersje od 7.2.0 do 7.2.2 włącznie
    • Należy zaktualizować minimum do wersji 7.2.3
  • FortiOS wersje od 7.0.0 do 7.0.8 włącznie
    • Należy zaktualizować minimum do wersji 7.0.9
  • FortiOS wersje od 6.4.0 do 6.4.10 włącznie
    • Należy zaktualizować minimum do wersji 6.4.11
  • FortiOS wersje od 6.2.0 do 6.2.11 włącznie
    • Należy zaktualizować minimum do wersji 6.2.12
  • FortiOS wersje od 6.0.0 do 6.0.15 włącznie
    • Należy zaktualizować minimum do wersji 6.0.16
  • FortiOS wersje od 5.6.0 do 5.6.14 włącznie
    • Należy zaktualizować minimum do wersji 6.0.16
  • FortiOS wersje od 5.4.0 do 5.4.13 włącznie
    • Należy zaktualizować minimum do wersji 6.0.16
  • FortiOS wersje od 5.2.0 do 5.2.15 włącznie
    • Należy zaktualizować minimum do wersji 6.0.16
  • FortiOS wersje od 5.0.0 do 5.0.14 włącznie
    • Należy zaktualizować minimum do wersji 6.0.16
  • FortiOS-6K7K wersje od 7.0.0 do 7.0.7 włącznie
    • Należy zaktualizować minimum do wersji 7.0.8
  • FortiOS-6K7K wersje od 6.4.0 do 6.4.9 włącznie
    • Należy zaktualizować minimum do wersji 6.4.10
  • FortiOS-6K7K wersje od 6.2.0 do 6.2.11 włącznie
    • Należy zaktualizować minimum do wersji 6.2.12
  • FortiOS-6K7K wersje od 6.0.0 do 6.0.14 włącznie
    • Należy zaktualizować minimum do wersji 6.0.15
  • FortiProxy wersje od 7.2.0 do 7.2.1 włącznie
    • Należy zaktualizować minimum do wersji 7.2.2
  • FortiProxy wersje od 7.0.0 do 7.0.7 włącznie
    • Należy zaktualizować minimum do wersji 7.0.8
  • FortiProxy wersje od 2.0.0 do 2.0.11 włącznie
    • Należy zaktualizować minimum do wersji 2.0.12
  • FortiProxy wersje od 1.2.0 do 1.2.13 włącznie
    • Należy zaktualizować minimum do wersji 2.0.12
  • FortiProxy wersje od 1.1.0 do 1.1.6 włącznie
    • Należy zaktualizować minimum do wersji 2.0.12
  • FortiProxy wersje od 1.0.0 do 1.0.7 włącznie
    • Należy zaktualizować minimum do wersji 2.0.12

W przypadku posiadania urządzenia z podatną wersją oprogramowania, należy zaktualizować FortiOS do wersji łatającej błąd zgodnie z rekomendacjami. Aktualizacja jest dostępna na stronie producenta: https://support.fortinet.com/download/firmwareimages.aspx (wymagany dostęp do portalu klienta). Następnie należy sprawdzić czy podatność nie została już wykorzystana w ataku.

Jeśli aktualizacja nie jest możliwa, należy wyłączyć funkcjonalność VPN-SSL. Zalecane jest obserwowanie logów pod kątem prób wykorzystania podatności.

Niezależnie od podatności rekomendujemy również wdrożenie reguł określających z jakiego kraju mogą być nawiązywane połączenia VPN. W przypadku większości firm powinien być to zbiór stosunkowo prosty do zdefiniowania. Mimo że nie chroni to przed wykorzystaniem błędów oprogramowania, znacząco ogranicza ryzyko i opóźnia atak w przypadku masowych prób eksploitacji, w szczególności w przypadku pojawienia się kolejnych podatności.

Sprawdzenie, czy doszło do ataku

Bezwzględnie zalecamy sprawdzenie, czy doszło do wykorzystania podatności. Znane są przypadki ataków sprzed ujawnienia informacji o podatności. W tym celu należy:

1) Przejrzeć logi pod kątem występowania powtarzających się następujących powiadomień ([...] może być dowolnym ciągiem znaków):

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

2) Sprawdzić system plików pod kątem ostatnio modyfikowanych plików poleceniami:

diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash

Szczególnie alarmujące powinno być pojawienie się plików o następujących nazwach:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Obecność któregokolwiek z elementów (powtarzający się wpis w logach lub plik z listy) powinien być podstawą do odłączenia urządzenia od Internetu i przeprowadzenia pełnej analizy.

W przypadku wykrycia oznak ataku zachęcamy do zgłoszenia incydentu pod adresem: https://incydent.cert.pl/

Udostępnij: