一、漏洞概述
近日,绿盟科技CERT监测到Fortinet官方修复了一个FortiOS sslvpnd中的远程代码执行漏洞(CVE-2022-42475)。由于sslvpnd对用户输入的内容验证存在缺陷,未经身份验证的攻击者通过发送特制数据包触发缓冲区溢出,最终可实现在目标系统上执行任意代码。CVSS评分为9.8,目前已监测到在野利用,请相关用户尽快采取措施进行防护。
Fortinet FortiOS是Fortinet公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。
参考链接:
https://fortiguard.fortinet.com/psirt/FG-IR-22-398
二、影响范围
受影响版本
- 2.0 <= FortiOS <= 7.2.2
- 0.0 <= FortiOS <= 7.0.8
- 4.0 <= FortiOS <= 6.4.10
- 2.0 <= FortiOS <= 6.2.11
- 0.0 <= FortiOS-6K7K <= 7.0.7
- 4.0 <= FortiOS-6K7K <= 6.4.9
- 2.0 <= FortiOS-6K7K <= 6.2.11
- 0.0 <= FortiOS-6K7K <= 6.0.14
不受影响版本
- FortiOS >= 7.2.3
- FortiOS >= 7.0.9
- FortiOS >= 6.4.11
- FortiOS >= 6.2.12
- FortiOS-6K7K >= 7.0.8
- FortiOS-6K7K >= 6.4.10
- FortiOS-6K7K >= 6.2.12
- FortiOS-6K7K >= 6.0.15
三、攻击排查
用户可根据官方公布的IOC进行自查,验证自身系统是否遭受攻击。
- 检查系统中是否存在以下日志条目:
| Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]” |
- 检查系统中是否存在以下文件:
| /data/lib/libips.bak
/data/lib/libgif.so /data/lib/libiptcp.so /data/lib/libipudp.so /data/lib/libjepg.so /var/.sslvpnconfigbk /data/etc/wxd.conf /flash |
用户可通过以下命令来对上述文件进行检查:
| diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/ diagnose sys last-modified-files /data/etc/ diagnose sys last-modified-files /flash |
3、检查FortiGate是否存在与以下可疑IP地址的连接:
| 188.34.130.40:444
103.131.189.143:30080,30081,30443,20443 192.36.119.61:8443,444 172.247.168.153:8033 |
四、漏洞防护
- 官方升级
目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:https://docs.fortinet.com/product/fortigate/7.2
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。