Идентификатор: BDU:2022-07226.
Наименование уязвимости: Уязвимость SSL-VPN-портала операционной системы FortiOS, позволяющая нарушителю выполнить произвольный код.
Описание уязвимости: Уязвимость SSL-VPN-портала операционной системы FortiOS связана с переполнением буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Операционная система Fortinet Inc. FortiOS от 7.2.0 до 7.2.3 | Операционная система Fortinet Inc. FortiOS от 7.0.0 до 7.0.9 | Операционная система Fortinet Inc. FortiOS от 6.4.0 до 6.4.11 | Операционная система Fortinet Inc. FortiOS от 6.2.0 до 6.2.12 | Операционная система Fortinet Inc. FortiOS от 6.0.0 до 6.0.16 | Операционная система Fortinet Inc. FortiOS-6K7K от 7.0.0 до 7.0.8 | Операционная система Fortinet Inc. FortiOS-6K7K от 6.4.0 до 6.4.10 | Операционная система Fortinet Inc. FortiOS-6K7K от 6.2.0 до 6.2.12 | Операционная система Fortinet Inc. FortiOS-6K7K от 6.0.0 до 6.0.15 |
Наименование ОС и тип аппаратной платформы: FortiOS от 720 до 723 | FortiOS от 700 до 709 | FortiOS от 640 до 6411 | FortiOS от 620 до 6212 | FortiOS от 600 до 6016 | FortiOS-6K7K от 700 до 708 | FortiOS-6K7K от 640 до 6410 | FortiOS-6K7K от 620 до 6212 | FortiOS-6K7K от 600 до 6015 |
Дата выявления: 12.12.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
– отключение SSL-VPN;
– использование средств межсетевого экранирования для формирования «белого» списка адресов, которым разрешён удаленный доступ;
– использование систем обнаружения вторжений для отслеживания известных индикаторов компрометации:
Записей в журналах логирования:
Logdesc="Application crashed" and msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […].
Артефактов в файловой системе:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Подключений к скомпрометированным IP-адресам:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Использование рекомендаций:
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-42475. FG-IR-22-398.
Тип ошибки CWE: CWE-122
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate
