Kritisk sårbarhet i FortiOS SSL-VPN
Sårbarheten har fått CVSS-score 9.3 og gjør det mulig for en ekstern, uautentisert angriper å kjøre vilkårlig kode på systemet via spesielt utformede forespørsler.
Fortinet er kjent med aktiv utnyttelse av sårbarheten. NCSC anbefaler derfor systemeiere å oppdatere berørte versjoner av FortiOS til nyeste versjon så snart det lar seg gjøre.
Følgende versjoner er berørt:
* FortiOS versjon 7.2.0 til og med 7.2.2
* FortiOS versjon 7.0.0 til og med 7.0.8
* FortiOS versjon 6.4.0 til og med 6.4.10
* FortiOS versjon 6.2.0 til og med 6.2.11
* FortiOS-6K7K versjon 7.0.0 til og med 7.0.7
* FortiOS-6K7K versjon 6.4.0 til og med 6.4.9
* FortiOS-6K7K versjon 6.2.0 til og med 6.2.11
* FortiOS-6K7K versjon 6.0.0 til og med 6.0.14
I tillegg bør man utføre Fortinets anbefalte undersøkelser for å avdekke hvorvidt man kan ha blitt utsatt for utnyttelse ved å se etter følgende:
Flere loggoppføringer av følgende:
* Logdesc="Application crashed"
* msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Tilstedeværelse av følgende artefakter på filsystemet:
* /data/lib/libips.bak
* /data/lib/libgif.so
* /data/lib/libiptcp.so
* /data/lib/libipudp.so
* /data/lib/libjepg.so
* /var/.sslvpnconfigbk
* /data/etc/wxd.conf
* /flash
Utgående nettverkstilkoblinger mot følgende IP-adresser og portkombinasjoner:
* 188.34.130[.]40:444
* 103.131.189[.]143:30080,30081,30443,20443
* 192.36.119[.]61:8443,444
* 172.247.168[.]153:8033
NCSC er p.t. ikke kjent med aktiv utnyttelse i Norge, men dette må forventes.
Referanser: https://www.fortiguard.com/psirt/FG-IR-22-398