Vulnerabilidad Fortinet CVE-2022-42475

Fortinet ha liberado una alerta por una grave vulnerabilidad en sus equipos de firewall, afectando en el módulo VPN-SSL

Resumen 
Una vulnerabilidad de buffer overflow heap-based (CWE-122) en FortiOS SSL-VPN permitiría a atacantes remotos "sin autentificación", ejecutar comandos y Código arbitrario en el firewall.


  Estatus de la explotación 
Fortinet esta informado de que esta vulnerabilidad está siendo explotada masivamente por grupos de ransomware. por lo que recomienda revisar los equipos en búsqueda de los siguientes indicadores de compromiso.


Múltiples entradas de logs con lo siguiente:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“


Presencia de los siguientes archivos:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash


Conexiones sospechosas desde estas IPs:

188.34.130.40
103.131.189.143
192.36.119.61
172.247.168.153

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20


Productos afectados
FortiOS version 7.2.0 through 7.2.2

FortiOS version 7.0.0 through 7.0.8

FortiOS version 6.4.0 through 6.4.10

FortiOS version 6.2.0 through 6.2.11

FortiOS-6K7K version 7.0.0 through 7.0.7

FortiOS-6K7K version 6.4.0 through 6.4.9

FortiOS-6K7K version 6.2.0 through 6.2.11

FortiOS-6K7K version 6.0.0 through 6.0.14


Soluciones 
Please upgrade to FortiOS version 7.2.3 or above

Please upgrade to FortiOS version 7.0.9 or above

Please upgrade to FortiOS version 6.4.11 or above

Please upgrade to FortiOS version 6.2.12 or above

Please upgrade to FortiOS-6K7K version 7.0.8 or above

Please upgrade to FortiOS-6K7K version 6.4.10 or above

Please upgrade to FortiOS-6K7K version 6.2.12 or above

Please upgrade to FortiOS-6K7K version 6.0.15 or above


Mitigación temporal recomendada por GlobalSecure:

Si no es posible realizar la actualización del equipo Fortinet, en lo inmediato se recomienda crear una regla que solo permita acceso VPN-SSL desde los países donde tiene operación y sacar de internet el puerto de administración del Firewall, limitando su acceso solo desde IPs de confianza o desde conexiones VPN seguras. Esto le permitirá tener tiempo para poder realizar la actualización y hacer las pruebas de estabilidad correspondientes.

Follow Us

Keep up with our latest news

Explotación activa RCE en Citrix ADC y Citrix Gateway (CVE-2022-27518)

December 29, 2022
Vulnerabilidad Critica permite ejecutar código arbitrario sin autenticar en Citrix ADC y Citrix Gateway.

Credenciales por Defecto

December 29, 2022
Este riesgo de seguridad ocupa la posición 7 en el OWASP top ten en su versión 2021 (A07:2021 – Identification and Authentication Failures) Encontrar listados con credenciales por defecto en internet es muy fácil y rápido

Vulnerabilidad crítica (RCE sin autenticar) en kernel de Linux

December 29, 2022
Una vulnerabilidad crítica del kernel de Linux (puntuación CVSS de 10) expone los servidores SMB con ksmbd habilitado.