CERT-IS vill koma á framfæri tilkynningu vegna alvarlegs veikleika (CVE-2022-42475) í FortiOS SSL-VPN. Fréttatilkynning frá Fortigate má sjá hér. Veikleikinn er með 9.3 í CVSS einkunn og gerir árásaraðilum kleift að senda sérstakar beiðnir á kerfið og láta það keyra kóða eða skipanir sem eru nýttar til innbrota (e. remote code execution).
Vitað er að árásaraðilar eru nú þegar byrjaðir að nýta þennan veikleika til innbrota og því þurfa rekstraraðilar ForstiOS að uppfæra kerfin sín sem fyrst.
Eftirfarandi útgáfur eru með þennan veikleika:
* FortiOS útgáfa 7.2.0 til 7.2.2
* FortiOS útgáfa 7.0.0 til 7.0.8
* FortiOS útgáfa 6.4.0 til 6.4.10
* FortiOS útgáfa 6.2.0 til 6.2.11
* FortiOS útgáfa 6.0.0 til 6.0.15
* FortiOS útgáfa 5.6.0 til 5.6.14
* FortiOS útgáfa 5.4.0 til 5.4.13
* FortiOS útgáfa 5.2.0 til 5.2.15
* FortiOS útgáfa 5.0.0 til 5.0.14
* FortiOS-6K7K útgáfa 7.0.0 til 7.0.7
* FortiOS-6K7K útgáfa 6.4.0 til 6.4.9
* FortiOS-6K7K útgáfa 6.2.0 til 6.2.11
* FortiOS-6K7K útgáfa 6.0.0 til 6.0.14
Að auki er mælt með því að rekstraraðilar rannsaki hvort nú þegar sé búið að nýta veikleikann til innbrota.
Virksummerki:
Ef margar línur í aðgerðarskrá innihalda:
– ‘Logdesc=“Application crashed“ and msg=“[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“‘
Ef eftirfarandi skjöl finnast á skráarkerfinu:
– /data/lib/libips.bak
– /data/lib/libgif.so
– /data/lib/libiptcp.so
– /data/lib/libipudp.so
– /data/lib/libjepg.so
– /var/.sslvpnconfigbk
– /data/etc/wxd.conf
– /flash
Ef gögn hafa flætt til og frá eftirfarandi IP tölum:
– 188[.]34.130.40:444
– 103[.]131.189.143:30080,30081,30443,20443
– 192[.]36.119.61:8443,444
– 172[.]247.168.153:8033
Hvað skal gera ef ekki er hægt að uppfæra:
Gera skal SSL-VPN virkni óvirka.