Neue Zero-Day-Lücke bei Fortinet – jetzt patchen

von David Hänel
13. Dezember 2022
2 Minuten zu lesen
Autor
David Hänel
Ehrliches Miteinander und konstruktiver Austausch. IT-Security bedeutet nicht automatisch eine Einschränkung des Benutzerkomforts.
Zum Experten Profil
Teilen:

Es gibt ein neue kritische Sicherheitslücke bei Fortinet. Ein Update steht schon bereit. IT-Verantwortliche sollten das Update unbedingt ausführen.

 

Darum geht's

Die FortiGuard Labs haben am 12. Dezember 2022 eine kritische Sicherheitslücke CVE-2022-42475 in FortiOS gemeldet, die wohl eine Remote Code-Ausführung über SSL-VPN ermöglicht. Diese Schwachstelle wurde schon ausgenutzt, meldet das Unternehmen.

In FortiOS gibt es eine Heap-basierte Pufferüberlauf-Schwachstelle CVE-2022-42475 in FortiOS SSL-VPN. Über diese Schwachstelle könnten nicht authentifizierten Angreifer beliebigen Code oder Befehle über speziell gestaltete Anfragen auszuführen. Die Schwachstelle CVE-2022-42475 hat den CVE-Wert 9.3 erhalten.

Betroffene Produkte/Versionen:

FortiOS Version 7.2.0 bis 7.2.2
FortiOS Version 7.0.0 bis 7.0.8
FortiOS-Versionen 6.4.0 bis 6.4.10
FortiOS-Versionen 6.2.0 bis 6.2.11
FortiOS-6K7K Version 7.0.0 bis 7.0.7
FortiOS-6K7K Version 6.4.0 bis 6.4.9
FortiOS-6K7K Version 6.2.0 bis 6.2.11
FortiOS-6K7K Version 6.0.0 bis 6.0.14

Technische Informationen zur Umsetzung:

Wichtig: Es müssen folgende Punkte geprüft werden, um festzustellen, ob ein System bereits kompromittiert ist:
Indikator 1
Multiple log entries with:
Logdesc=“Application crashed“ and msg=“[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“
Indikator 2
Presence of the following artifacts in the filesystem:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Die o.g. Dateien/Pfade können mit dem folgenden Befehl abgefragt werden: „fnsysctl ls“
Beispiel1 : fnsysctl ls /data/lib/
Beispiel1 : fnsysctl ls flash
Indikator 3
Connections to suspicious IP addresses from the FortiGate:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Was ist zu tun?

Neue Firmware aufspielen:

Please upgrade to FortiOS version 7.2.3 or above
Please upgrade to FortiOS version 7.0.9 or above
Please upgrade to FortiOS version 6.4.11 or above
Please upgrade to FortiOS version 6.2.12 or above
Please upgrade to FortiOS-6K7K version 7.0.8 or above
Please upgrade to FortiOS-6K7K version 6.4.10 or above
Please upgrade to FortiOS-6K7K version 6.2.12 or above
Please upgrade to FortiOS-6K7K version 6.0.15 or above