Fabian Caballero Cyber Intelligence Engineer
El día de ayer Fortinet publico una serie de parches de emergencia debido a la detección de una falla de seguridad identificada sobre el producto FortiOS VPN-SSL, la cual está siendo explotada actualmente.
Identificado con el CVE-2022-42475 y con un puntaje de 9.3/10 según el CVSS, dicha vulnerabilidad se generó por un problema de buffer Overflow ubicado en el servicio de VPN-SSL (ssl vpnd), este permite que un atacante remoto sin la necesidad de estar autenticado pueda bloquear el dispositivo atacado o ejecutar código malicioso por medio de solicitudes diseñadas específicamente para este fin.
Hasta la fecha no se ha publicado una explicación exacta del método utilizado por los atacantes para explotar la vulnerabilidad, pero si se confirmó que esta había sido explotada de manera exitosa, las versiones afectadas según la publicación realizada por Fortinet son las siguientes (imagen 1).
Dentro de las detecciones realizadas por la entidad Olympe Cyberdefense la cual identifico la vulnerabilidad se indicó que en un equipo explotado se pueden encontrar logs con la siguiente descripción y siguientes Indicadores de Compromiso:
Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“
También se encontraron los siguientes archivos en equipos en donde el ataque fue exitoso:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Otros indicadores de compromiso entregados fueron algunas direcciones IP hacia las cuales se generó tráfico desde el Fortinet, esto una vez explotada la vulnerabilidad:
- 34.130.40:444
- 131.189.143:30080,30081,30443,20443
- 36.119.61:8443,444
- 247.168.153:8033
Recomendaciones:
Para dar solución al problema identificado Fortinet recomienda actualizar a las siguientes versiones, las cuales no son vulnerables:
- Actualizar a FortiOS versión 2.3 o superior.
- Actualizar a FortiOS versión 0.9 o superior.
- Actualizar a FortiOS versión 6.4.11 o superior.
- Actualizar a FortiOS versión 6.2.12 o superior.
- Actualizar a la próxima versión FortiOS-6K7K 0.8 o superior.
- Actualizar a FortiOS-6K7K versión 4.10 o superior.
- Actualizar a la próxima versión FortiOS-6K7K 2.12 o superior.
- Actualizar a FortiOS-6K7K versión 0.15 o superior.
En caso de no poder actualizar a las versiones indicadas en el listado anterior se sugiere deshabilitar temporalmente la funcionalidad de VPN-SSL y generar reglas de acceso específicas para limitar el acceso VPN a direcciones IP conocidas.
Fuentes:
- https://www.fortiguard.com/psirt/FG-IR-22-398
- https://thehackernews.com/2022/12/fortinet-warns-of-active-exploitation.html
- https://securityaffairs.co/wordpress/139569/hacking/fortinet-fortios-ssl-vpn-bug.html
- https://www.bleepingcomputer.com/news/security/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks/
