esenfrdeitptru

Fortinet envía un parche de emergencia para una falla de VPN ya explotada

AS-094-2022

Fecha: 13/Dic/2022

Notificado por: Correo-CTI-FIRST

Resumen:

Fortinet emitió el lunes un parche de emergencia para cubrir una vulnerabilidad grave en su producto FortiOS SSL-VPN, advirtiendo que los piratas informáticos ya han explotado la falla en la naturaleza.[1]

Un aviso de nivel crítico de Fortinet describió el error como una corrupción de la memoria que permite que un "atacante remoto no autenticado" inicie código dañino o ejecute comandos en un sistema de destino.

Fortinet está al tanto de una instancia en la que esta vulnerabilidad fue explotada y recomienda validar inmediatamente sus sistemas contra los indicadores de compromiso, dijo la compañía, enumerando artefactos y conexiones a direcciones IP sospechosas que pueden ayudar a los defensores a buscar infecciones.

Un aviso del PSIRT (equipo de respuesta a incidentes de seguridad de productos) de Fortinet dijo que la falla tiene una puntuación de gravedad CVSS de 9.3/10. El problema se rastrea como CVE-2022-4247.

En abril pasado, un aviso conjunto de CISA/FBI llamó la atención sobre un trío de fallas de FortiOS VPN que estaban siendo explotadas por actores de amenazas de alto nivel. Los productos FortiOS también se han destacado en la lista de vulnerabilidades explotadas conocidas de "parche obligatorio" de CISA.

Recursos afectados:

Esta vulnerabilidad de desbordamiento de buffer afecta a FortiOS en las versiones 6.2.0 hasta 6.2.11, 6.4.0 hasta 6.4.10, 7.0.0 hasta 7.0.8 y 7.2.0 hasta 7.2.2 y Fortinet FortiOS-6K7K en las versiones 6.0.0 hasta 6.0.14, 6.2.0 hasta 6.2.11, 6.4.0 hasta 6.4.9 y 7.0.0 hasta 7.0.7.  [3]

El fabricante Fortinet ha admitido que esta vulnerabilidad está siendo activamente explotada y recomienda validar los sistemas contra los indicadores de compromiso:

Indicadores de compromiso-Múltiples entradas de logs con:

Logdesc="Application crashed" y msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Presencia de los siguientes objetos en el Sistema de archivos[3]:

  • /data/lib/libips.bak
  • /data/lib/libgif.so
  • /data/lib/libiptcp.so
  • /data/lib/libipudp.so
  • /data/lib/libjepg.so
  • /var/.sslvpnconfigbk
  • /data/etc/wxd.conf
  • /flash

Conexiones a direcciones IP sospechosas desde FortiGate:

  • 188.34.130.40:444
  • 103.131.189.143:30080,30081,30443,20443
  • 192.36.119.61:8443,444
  • 172.247.168.153:8033

Recomendaciones:

Validar los sistemas contra los IOC enumerados en el aviso. [2]


Fortinet recomienda encarecidamente actualizar a las siguientes versiones de FortiOS: 7.2.3, 7.0.9, 6.4.11, 6.2.12 o superiores y a las siguientes versiones de FortiOS-6K7K: 7.0.8, 6.4.10, 6.2.12 y 6.0.15 o superiores.

Solución alterna

Deshabilite SSL-VPN.

Referencias:

[1] https://www.securityweek.com/fortinet-ships-emergency-patch-already-exploited-vpn-flaw
[2] https://www.cisa.gov/uscert/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios
[3]https://www.fortiguard.com/psirt/FG-IR-22-398