Vulnerabilidades

Vulnerabilidades en Fortinet

13/12/2022
Fortinet liberó un parche de seguridad para mitigar dos vulnerabilidades: una categorizada como “0-day” y de severidad crítica, y la otra alta (CVE-2022-42475 - CVE-2022-35843). Estas permiten a quien ataca la ejecución de código remoto (RCE) que afecta a los productos Fortigate, y un bypass de autenticación que afecta a los productos Fortigate y FortiProxy.
Logo de Fortinet

Aunque todavía no se conocen exploits públicos o pruebas de concepto, la vulnerabilidad con CVE-2022-42475 está siendo activamente explotada. Se recomienda actualizar a las versiones sugeridas por el desarrollador lo antes posible.

Detalles técnicos

CVE-2022-42475

Productos Afectados

Versiones

FortiOS

  • 7.2.0 hasta 7.2.2

  • 7.0.0 hasta 7.0.8

  • 6.4.0 hasta 6.4.10

  • 6.2.0 hasta 6.2.11

  • 6.0.0 hasta 6.0.15

  • 5.6.0 hasta 5.6.14

  • 5.4.0 hasta 5.4.13

  • 5.2.0 hasta 5.2.15

  • 5.0.0 hasta 5.0.14

FortiOS-6K7K

  • 7.0.0 hasta 7.0.7

  • 6.4.0 hasta 6.4.10

  • 6.2.0 hasta 6.2.11

  • 6.0.0 hasta 6.0.14

La vulnerabilidad está catalogada como “0-day” con severidad crítica (CVSS:3.1=9.8), es una vulnerabilidad de buffer overflow y permite a quien ataca, sin autenticarse, la ejecución de código remoto a través de solicitudes especialmente diseñadas, afectando al modulo SSL-VPN de FortiOS.

La vulnerabilidad está siendo explotada activamente en la actualidad.

CVE-2022-35843

Productos Afectados

Versiones

FortiOS

  • 7.2.0 hasta 7.2.1

  • 7.0.0 hasta 7.0.7

  • 6.4.0 hasta 6.4.9

  • 6.2 hasta 6.2.12

‍FortiProxy

  • 7.0.0 hasta 7.0.6

  • 2.0.0 hasta 2.0.10

  • 1.2.X

Esta vulnerabilidad con severidad alta (CVSS:3.1=8.1), se produce por una falla de seguridad en el componente de inicio de sesión SSH de FortiOS y FortiProxy.

Esto permite a quien ataca, sin estar autenticado y de forma remota, iniciar sesión en el dispositivo a través del envío de una respuesta Access-Challenge, especialmente diseñada desde el servidor Radius.

Recomendaciones

Detección

Fortinet ha publicado indicadores de compromiso ( IoCs ) asociados con los intentos de explotación de la vulnerabilidad CVE-2022-42475, incluidas las direcciones IP y los artefactos que están presentes en el sistema de archivos en un ataque exitoso:

  • Múltiples registros de logs del tipo:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

  • La presencia de los siguientes artefactos en los archivos del sistema:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

  • Conexiones a las siguientes IPs desde el Fortigate:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

 

Mitigación

De no ser posible realizar la actualización de seguridad a la brevedad, se recomienda realizar un paliativo deshabilitando el servicio SSL-VPN. Esta mitigación solo aplica a CVE-2022-42475.

En vista de la gravedad de la vulnerabilidad, instamos a los administradores a actualizar lo antes posible las versiones 2.0.11 y 7.0.7 para FortiProxy, 6.2.13, 6.4.11, 7.0.9 y 7.2.3 para FortiOS y 6.0.15, 6.2.12, 6.4.10, 7.0.8 para FortiOS-6K7K.

 

Referencias

Enlace sitio Advisor de Fortinet – CVE-2022-35843

Enlace sitio Advisor de Fortinet - CVE-2022-42475

Enlace sitio NVD

Enlace sitio Mitre

Etiquetas

Amenazas y alertas Comunidad Técnica