跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

重要資安警訊

:::
:::
駭客發動 Fortinet SSL-VPN 弱點攻擊! 請管理者盡快更新
  • 上版日期:2022-12-21

FortiOS sslvpnd模組含有記憶體緩衝區溢位的重大漏洞(CVE-2022-42475),CVSS風險值高達9.3分,未經身分驗證的攻擊者可透過特製的請求觸發此漏洞,進而癱瘓設備或遠端執行任意程式碼,目前已有災情傳出,建議盡速更新設備韌體。

官方建議可檢查設備是否含有被攻擊的可疑活動:

  1. Log項目中,存在「Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“」字串
  2. 設備目錄中含有下列檔案:
    /data/lib/libips.bak
    /data/lib/libgif.so
    /data/lib/libiptcp.so
    /data/lib/libipudp.so
    /data/lib/libjepg.so
    /var/.sslvpnconfigbk
    /data/etc/wxd.conf
    /flash
  1. 設備曾有連線至下列可疑IP的紀錄:
    188.34.130.40:444
    103.131.189.143:30080,30081,30443,20443
    192.36.119.61:8443,444
    172.247.168.153:8033
    139.180.184.197
    66.42.91.32
    158.247.221.101
    107.148.27.117
    139.180.128.142
    155.138.224.122
    185.174.136.20

影響範圍:

FortiOS 版本 7.2.0-7.2.2
FortiOS 版本 7.0.0-7.0.8
FortiOS 版本 6.4.0-6.4.10
FortiOS 版本 6.2.0-6.2.11
FortiOS 版本 6.0.0-6.0.15
FortiOS 版本 5.6.0-5.6.14
FortiOS 版本 5.4.0-5.4.13
FortiOS 版本 5.2.0-5.2.15
FortiOS 版本 5.0.0-5.0.14
FortiOS-6K7K 版本 7.0.0-7.0.7
FortiOS-6K7K 版本 6.4.0-6.4.9
FortiOS-6K7K 版本 6.2.0-6.2.11
FortiOS-6K7K 版本 6.0.0-6.0.14

建議措施:

更新設備韌體至下列版本:
FortiOS 7.2.3或以上版本
FortiOS 7.0.9或以上版本
FortiOS 6.4.11或以上版本
FortiOS 6.2.12或以上版本
FortiOS 6.0.16或以上版本
即將發布的FortiOS-6K7K版本7.0.8或以上
FortiOS-6K7K版本6.4.10或以上
即將發布的FortiOS-6K7K版本6.2.12或以上
FortiOS-6K7K版本6.0.15或以上

若無法更新,建議暫時禁用SSL-VPN服務。

參考來源:

  1. CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42475
  2. Fortiguard:https://www.fortiguard.com/psirt/FG-IR-22-398
  3. BLEEPINGCOMPUTER:https://www.bleepingcomputer.com/news/security/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks/