Clicky

Skip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

FortiOS heap-based buffer overflow kwetsbaarheid

Door 27 december 2022 CERT, SOC, Kwetsbaarheid
FortiOS kwetsbaarheid

Deze liveblog bevat informatie over de FortiOS heap-based buffer overflow kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 27 december 2022.

Update 27 december 2022

14:00 | Fortinet heeft haar initiële Advisory geüpdatet en heeft verschillende nieuwe producten en versies van producten toegevoegd aan de lijst van kwetsbare producten. De volgende producten zijn door Fortinet toegevoegd als zijnde kwetsbaar:

  • FortiOS versie 6.0.0 tot 6.0.15
  • FortiOS versie 5.6.0 tot 5.6.14
  • FortiOS versie 5.4.0 tot 5.4.13
  • FortiOS versie 5.2.0 tot 5.2.15
  • FortiOS versie 5.0.0 tot 5.0.14
  • FortiProxy versie 7.2.0 tot 7.2.1
  • FortiProxy versie 7.0.0 tot 7.0.7
  • FortiProxy versie 2.0.0 tot 2.0.11
  • FortiProxy versie 1.2.0 tot 1.2.13
  • FortiProxy versie 1.1.0 tot 1.1.6
  • FortiProxy versie 1.0.0 tot 1.0.7

Fortinet heeft security updates uitgebracht om de kwetsbaarheid in FortiOS en FortiProxy te verhelpen. Het advies is om deze security updates zo snel mogelijk toe te passen.

Deze kwetsbaarheid wordt actief uitgebuit. Beschouw producten die een kwetsbare versie van de software draaien daarom als gecompromitteerd. Fortinet heeft verschillende Indicators of Compromise gepubliceerd. Deze kunnen worden gebruikt om mogelijke uitbuiting van de kwetsbaarheid te controleren.

Update 13 december 2022

14:00 | Op 12 december 2022 heeft Fortinet een Advisory gepubliceerd waarin CVE-2022-42475 wordt beschreven. De kwetsbaarheid is een heap-based buffer overflow in de FortiOS SSL-VPN. De kwetsbaarheid geeft een unauthenticated attacker de mogelijkheid voor remote code execution.  

Fortinet heeft op 28 november stilletjes beveiligingsupdates voor CVE-2022-42475 in FortiOS 7.2.3 gepubliceerd en publiceerde zelfs eerder andere beveiligingsupdates om de kwetsbaarheid in de FortiOS SSL-VPN te voorkomen. Op 12 december 2022 publiceerde Fortinet een Advisory met informatie over de kwetsbaarheid.

Fortinet heeft patches gepubliceerd om de kwetsbaarheid in de FortiOS SSL-VPN te verhelpen. Het wordt aangeraden om deze patches zo snel mogelijk te installeren. Fortinet geeft aan op de hoogte te zijn van een incident waarbij de kwetsbaarheid is misbruikt. Het advies is om FortiOS SSL-VPN systemen te controleren op de aanwezigheid van de gedeelde Indicators of Compromise (IOCs).

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Kwetsbaarheid informatie

Op 12 december 2022, heeft Fortinet een Advisory gepubliceerd waarin CVE-2022-42475 wordt beschreven. De kwetsbaarheid is een heap-based buffer overflow in de FortiOS SSL-VPN. De kwetsbaarheid geeft een unauthenticated attacker de mogelijkheid voor remote code execution.

Mogelijke risico’s

Kwetsbaarheid CVE-2022-42475 is een heap-based buffer overflow in de FortiOS SSL-VPN. De kwetsbaarheid geeft een unauthenticated attacker de mogelijkheid voor remote code execution. De kwetsbaarheid heeft een CVSSv3-score van 9,3. De CVSS-schaal loopt van 0 tot 10. Een score van 9,3 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met grote impact.

Fortinet geeft aan de hoogte te zijn van een incident waarbij de kwetsbaarheid is misbruikt.

Detail informatie

De kwetsbaarheid zit in de volgende producten:

  • FortiOS versie 7.2.0 tot en met 7.2.2
  • FortiOS versie 7.0.0 tot en met 7.0.8
  • FortiOS versie 6.4.0 tot en met 6.4.10
  • FortiOS versie 6.2.0 tot en met 6.2.11
  • FortiOS-6K7K versie 7.0.0 tot en met 7.0.7
  • FortiOS-6K7K versie 6.4.0 tot en met 6.4.9
  • FortiOS-6K7K versie 6.2.0 tot en met 6.2.11
  • FortiOS-6K7K versie 6.0.0 tot en met 6.0.14

Fortinet heeft patches gepubliceerd om de kwetsbaarheid in de FortiOS SSL-VPN te verhelpen. Het wordt aangeraden om deze patches zo snel mogelijk te installeren.

  • FortiOS versie 7.2.3 of hoger
  • FortiOS versie 7.0.9 of hoger
  • FortiOS versie 6.4.11 of hoger
  • FortiOS versie 6.2.12 of hoger
  • FortiOS-6K7K versie 7.0.8 of hoger
  • FortiOS-6K7K versie 6.4.10 of hoger
  • FortiOS-6K7K versie 6.2.12 of hoger
  • Upgrade naar FortiOS-6K7K versie 6.0.15 of hoger

Fortinet geeft aan op de hoogte te zijn van een incident waarbij de kwetsbaarheid is misbruikt. Het advies is om FortiOS SSL-VPN systemen te controleren op de aanwezigheid van de onderstaande gedeelde Indicators of Compromise (IOCs).

  • Meerdere log entries met:
    Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“
  • Aanwezigheid van de volgende artefacten in het bestandssysteem:
  • De aanwezigheid van de onderstaande artefacten:
    • /data/lib/libips.bak
    • /data/lib/libgif.so
    • /data/lib/libiptcp.so
    • /data/lib/libipudp.so
    • /data/lib/libjepg.so
    • /var/.sslvpnconfigbk
    • /data/etc/wxd.conf
    • /flash
  • Verbindingen naar verdachten IP -adressen vanuit de FortiGate:
    • 34.130.40:444
    • 131.189.143:30080,30081,30443,20443
    • 36.119.61:8443,444
    • 247.168.153:8033

Bronnen

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu