Descripción
Se ha detectado una vulnerabilidad de gravedad crítica de desbordamiento de buffer en FortiOS SSL-VPN que podría permitir a un atacante no autenticado la ejecución remota de código arbitrario o comandos mediante determinadas peticiones. A esta vulnerabilidad se le ha asignado el código CVE-2022-42475.
Recursos afectados
Esta vulnerabilidad de desbordamiento de buffer afecta a:
FortiOS en las versiones:
- 2.0 hasta 6.2.11
- 4.0 hasta 6.4.10
- 0.0 hasta 7.0.8
- 2.0 hasta 7.2.2
Fortinet FortiOS-6K7K en las versiones:
- 0.0 hasta 6.0.14
- 2.0 hasta 6.2.11
- 4.0 hasta 6.4.9
- 0.0 hasta 7.0.7
El fabricante Fortinet ha admitido que esta vulnerabilidad está siendo activamente explotada «in the wild» y recomienda validar los sistemas contra los siguientes indicadores de compromiso:
Múltiples entradas de logs con:
Logdesc=»Application crashed» y msg=»[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“
Presencia de los siguientes objetos en el Sistema de archivos:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Conexiones a direcciones IP sospechosas desde FortiGate:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Solución a la vulnerabilidad
Fortinet recomienda encarecidamente actualizar a las siguientes versiones de:
- FortiOS: 7.2.3, 7.0.9, 6.4.11, 6.2.12 o superiores.
- FortiOS-6K7K: 7.0.8, 6.4.10, 6.2.12 y 6.0.15 o superiores.