20 grudnia 2022

Krytyczna podatność w FortiOS

Nowa krytyczna podatność w Fortigate umożliwia przejęcie urządzenia. Fortinet zaleca wszystkim klientom aktualizację oprogramowania z uwagi na krytyczną podatność w zabezpieczeniach FortiOS SSL-VPN, która może być wykorzystana przez cyberprzestępców. Podatność umożliwia atakującemu wykonanie zdalnie dowolnego kodu na urządzeniach klientów Fortinet.

FortiOS SSL-VPN nie weryfikuje prawidłowo żądań HTTP, co prowadzi do przeciążenia buforowania przy użyciu specjalnie spreparowanych żądań/próśb.

Podatność w zabezpieczeniach FirtiOS SLL-VPN, która wiąże się z przeciążeniem bufora [CWE-122] pozwala cyberprzestępcom na wykonanie dowolnego kodu lub poleceń za pomocą spreparowanych żądań” – czytamy w komunikacie bezpieczeństwa Fortinet.

Nieuwierzytelnione ataki mogą uzyskać pełny dostęp do podatnego serwera z dostępami administracyjnymi, co powoduje że jest to luka krytyczna z wynikiem 9.3 w rankingu CVSS.

Holm Security za pomocą modułu skanującego będzie w stanie sprawdzić (HID-2-1-5349776) czy wersja oprogramowania podatna na ataki jest zainstalowana na docelowym urządzeniu.

Które rozwiązania Fortinet są podatne na ataki?

Najpopularniejsze produkty takie jak FortiGate, FortiGuard i FortiSASE działają na systemie FortiOS. Włączenie protokołu SSL-VPN powoduje, że produkt jest narażony na atak zdalny. Zobacz listę wersji systemu FortiOS, które są podatne na działanie cyberprzestępców:

  • FortiOS w wersji 7.2.0 do 7.2.2
  • FortiOS w wersji 7.0.0 do 7.0.8
  • FortiOS w wersji 6.4.0 do 6.4.10
  • FortiOS w wersji 6.2.0 do 6.2.11
  • FortiOS w wersji 6.0.0 do 6.0.15
  • FortiOS w wersji 5.6.0 do 5.6.14
  • FortiOS w wersji 5.4.0 do 5.4.13
  • FortiOS w wersji 5.2.0 do 5.2.15
  • FortiOS w wersji 5.0.0 do 5.0.14
  • FortiOS-6K7K w wersji 7.0.0 do 7.0.7
  • FortiOS-6K7K w wersji 6.4.0 do 6.4.9
  • FortiOS-6K7K w wersji 6.2.0 do 6.2.11
  • FortiOS-6K7K w wersji 6.0.0 do 6.0.14

Zgodnie ze stanem z dnia 15 grudnia 2022, nie były dostępne publicznie żadne exploity wykorzystujące wspomnianą lukę. Jednak jeśli atak był możliwy bez uwierzytelnienia, można się spodziewać, że wkrótce zostaną udostępnione automatyczne exploity. Pomimo, że Fortinet nie dostarczył żadnych informacji na temat sposobu wykorzystania luki w oprogramowaniu, udostępnił regułę IOC związaną z atakami:

Logdesc="Application crashed" and msg="[...]  application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Fortinet ostrzegł, że na zaatakowanych urządzeniach mogą znajdować się następujące artefakty plików:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Fortinet udostępnił również listę adresów IP, które wykorzystywały lukę:

  • 188.34.130.40:444
  • 103.131.189.143:30080,30081,30443,20443
  • 192.36.119.61:8443,444
  • 172.247.168.153:8033

Według różnych źródeł na twitterze, luka CWE-122 jest aktywnie wykorzystywana przez grupy cyberprzestępcze.

W jaki sposób rozwiązania Holm Security pozwalają uniknąć powyższych problemów?

Holm Security umożliwia automatyczne i nieprzerwane skanowanie urządzeń oraz systemów w sieci, skanuje w poszukiwaniu coraz większej liczby luk w zabezpieczeniach. Dzięki analizie zagrożeń pomagamy ustalić priorytety, aby zrozumieć, na czym należy skoncentrować wysiłki. Pomagamy organizacjom być o krok przed cyberprzestępcami, identyfikując luki w zabezpieczeniach cybernetycznych, obejmujące zarówno zasoby techniczne, jak ludzkie. Co ważne Holm Security VMP pozwala łatwo zintegrować się ze środowiskiem informatycznym.

Jeżeli chcesz przed innymi wykrywać podatności w swoim oprogramowaniu, zapoznaj się z rozwiązaniem Holm Security i jego skanerem urządzeń oraz systemów w sieci. Kliknij i zobacz nagranie webinaru prezentującego możliwości Holm Security (NG Vulnerability Assessment):

Zobacz nagranie

 

Już teraz zobacz nagranie "Poznaj Holm Security – nowoczesną platformę do zarządzania podatnościami":

Zobacz nagranie

Patryk Ćwięczek
junior product manager Holm Security

Masz pytania?
Skontaktuj się ze mną:
cwieczek.p@dagma.pl