Fecha de publicación: 13/12/2022
Nivel de peligrosidad: CRÍTICA
El CCN-CERT, del Centro Criptológico Nacional, avisa de una vulnerabilidad de gravedad crítica de desbordamiento de buffer en FortiOS SSL-VPN que podría permitir a un atacante no autenticado la ejecución remota de código arbitrario o comandos mediante determinadas peticiones. A esta vulnerabilidad se le ha asignado el código CVE-2022-42475.
Recursos afectados
Esta vulnerabilidad de desbordamiento de buffer afecta a FortiOS en las versiones 6.2.0 hasta 6.2.11, 6.4.0 hasta 6.4.10, 7.0.0 hasta 7.0.8 y 7.2.0 hasta 7.2.2 y Fortinet FortiOS-6K7K en las versiones 6.0.0 hasta 6.0.14, 6.2.0 hasta 6.2.11, 6.4.0 hasta 6.4.9 y 7.0.0 hasta 7.0.7.
El fabricante Fortinet ha admitido que esta vulnerabilidad está siendo activamente explotada "in the wild" y recomienda validar los sistemas contra los siguientes indicadores de compromiso:
Múltiples entradas de logs con:
Logdesc="Application crashed" y msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Presencia de los siguientes objetos en el Sistema de archivos:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Conexiones a direcciones IP sospechosas desde FortiGate:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Solución a la vulnerabilidad
Fortinet recomienda encarecidamente actualizar a las siguientes versiones de FortiOS: 7.2.3, 7.0.9, 6.4.11, 6.2.12 o superiores y a las siguientes versiones de FortiOS-6K7K: 7.0.8, 6.4.10, 6.2.12 y 6.0.15 o superiores.
Referencias
Atentamente,
Equipo CCN-CERT