FortiOS sslvpnd模組含有記憶體緩衝區溢位的重大漏洞(CVE-2022-42475),CVSS風險值高達9.3分,未經身分驗證的攻擊者可透過特製的請求觸發此漏洞,進而癱瘓設備或遠端執行任意程式碼,目前已有災情傳出,建議盡速更新設備韌體。
官方建議可檢查設備是否含有被攻擊的可疑活動:
- Log項目中,存在「Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“」字串
- 設備目錄中含有下列檔案:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
- 設備曾有連線至下列可疑IP的紀錄:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
139.180.184.197
66.42.91.32
158.247.221.101
107.148.27.117
139.180.128.142
155.138.224.122
185.174.136.20
影響範圍:
FortiOS 版本 7.2.0-7.2.2
FortiOS 版本 7.0.0-7.0.8
FortiOS 版本 6.4.0-6.4.10
FortiOS 版本 6.2.0-6.2.11
FortiOS 版本 6.0.0-6.0.15
FortiOS 版本 5.6.0-5.6.14
FortiOS 版本 5.4.0-5.4.13
FortiOS 版本 5.2.0-5.2.15
FortiOS 版本 5.0.0-5.0.14
FortiOS-6K7K 版本 7.0.0-7.0.7
FortiOS-6K7K 版本 6.4.0-6.4.9
FortiOS-6K7K 版本 6.2.0-6.2.11
FortiOS-6K7K 版本 6.0.0-6.0.14
建議措施:
更新設備韌體至下列版本:
FortiOS 7.2.3或以上版本
FortiOS 7.0.9或以上版本
FortiOS 6.4.11或以上版本
FortiOS 6.2.12或以上版本
FortiOS 6.0.16或以上版本
即將發布的FortiOS-6K7K版本7.0.8或以上
FortiOS-6K7K版本6.4.10或以上
即將發布的FortiOS-6K7K版本6.2.12或以上
FortiOS-6K7K版本6.0.15或以上
若無法更新,建議暫時禁用SSL-VPN服務。
參考來源:
- CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42475
- Fortiguard:https://www.fortiguard.com/psirt/FG-IR-22-398
- BLEEPINGCOMPUTER:https://www.bleepingcomputer.com/news/security/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks/