Kritische Sicherheitslücke in Fortinet FortiOS - aktiv ausgenutzt, Updates verfügbar

12.  Dezember  2022

Beschreibung

Eine kritische Schwachstelle in Fortinet FortiOS erlaubt es Angreifenden, Code und Systembefehle auszuführen.

CVE-Nummer(n): CVE-2022-42475

CVSS Base Score: 9.3

Auswirkungen

Durch spezielle Netzwerkpakete lassen sich Code sowie Systembefehle auf verwundbaren Versionen von FortiOS ausführen. Laut Fortinet wurde die Schwachstelle bereits mindestens einmal durch Bedrohungsakteure ausgenutzt und empfiehlt, die eigenen Systeme auf folgende Auffälligkeiten zu überprüfen:

  • Logeinträge mit folgendem Inhalt:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

  • Die Anwesenheit von folgenden Artefakten auf dem Dateisystem:
    • /data/lib/libips.bak
    • /data/lib/libgif.so
    • /data/lib/libiptcp.so
    • /data/lib/libipudp.so
    • /data/lib/libjepg.so
    • /var/.sslvpnconfigbk
    • /data/etc/wxd.conf
    • /flash
  • Ausgehende Verbindungen zu verdächtigen IP-Adressen:
    • 188[.]34[.]130[.]40[:]444
    • 103[.]131[.]189[.]143[:]30080,30081,30443,20443
    • 192[.]36[.]119[.]61[:]8443,444
    • 172[.]247[.]168[.]153[:]8033

Betroffene Systeme

  • FortiOS version 7.2.0 bis 7.2.2
  • FortiOS version 7.0.0 bis 7.0.8
  • FortiOS version 6.4.0 bis 6.4.10
  • FortiOS version 6.2.0 bis 6.2.11
  • FortiOS-6K7K version 7.0.0 bis 7.0.7
  • FortiOS-6K7K version 6.4.0 bis 6.4.9
  • FortiOS-6K7K version 6.2.0 bis 6.2.11
  • FortiOS-6K7K version 6.0.0 bis 6.0.14

Abhilfe

Einspielen der Updates auf folgende Versionen:

  • FortiOS version 7.2.3 oder höher
  • FortiOS version 7.0.9 oder höher
  • FortiOS version 6.4.11 oder höher
  • FortiOS version 6.2.12 oder höher
  • FortiOS-6K7K version 7.0.8 oder höher
  • FortiOS-6K7K version 6.4.10 oder höher
  • FortiOS-6K7K version 6.2.12 oder höher
  • FortiOS-6K7K version 6.0.15 or above

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

FortiOS - heap-based buffer overflow in sslvpnd (Englisch)
https://www.fortiguard.com/psirt/FG-IR-22-398