← Terug naar het overzicht

FortiOS SSL-VPN remote code execution kwetsbaarheid

Kwetsbaarheid in FortiOS SSL-VPN

Maandag 12 december is bekendgemaakt dat de SSL-VPN functionaliteit van FortiOS een ernstige kwetsbaarheid bevat. Het heeft een CVSS-score van 9.3. Fortinet heeft aangegeven op de hoogte te zijn van "een geval" waarin de kwetsbaarheid in het echt is misbruikt. Daarom is het advies aan klanten om de Fortinet-systemen te controleren.

De kwetsbaarheid stelt een kwaadwillende in staat om op afstand arbitraire code of commando's uit te voeren via speciale requests.

Deze kwetsbaarheid wordt weggenomen door verschillende updates van bestaande FortiOS versies.

Geraakte versies:

  • FortiOS versie 7.2.0 tot 7.2.2

  • FortiOS versie 7.0.0 tot 7.0.8

  • FortiOS versie 6.4.0 tot 6.4.10

  • FortiOS versie 6.2.0 tot 6.2.11

  • FortiOS-6K7 versie 7.0.0 tot 7.0.7

  • FortiOS-6K7 versie 6.4.0 tot 6.4.9

  • FortiOS-6K7 versie 6.2.0 tot 6.2.11

  • FortiOS-6K7 versie 6.0.0 tot 6.0.14

De oplossing is om te upgraden naar een van deze versies:

  • Upgrade naar FortiOS 7.2.3 of later;

  • Upgrade naar FortiOS 7.0.9 of later;

  • Upgrade naar FortiOS 6.4.11 of later;

  • Upgrade naar FortiOS 6.2.12 of later;

  • Upgrade naar FortiOS-6K7K 7.0.8 of later;

  • Upgrade naar FortiOS-6K7K 6.4.10 of later;

  • Upgrade naar FortiOS-6K7K 6.2.12 of later;

  • Upgrade naar FortiOS-6K7K 6.0.15 of later.

Advies

Als je Fortinet-systemen nog niet op één van de gepatchte versies draaien dan is het advies om te upgraden.

Daarnaast kun je op de volgende manier controleren of er sprake is (geweest) van de volgende "Indicators of Compromise":

  • Meerdere log events met:
    Logdesc="Application crashed" and msg=""[...]" application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

  • Aanwezigheid van de volgende artifacts in het systeem:
    /data/lib/libips.bak
    /data/lib/libgif.so
    /data/lib/libiptcp.so
    /data/lib/libipudp.so
    /data/lib/libjepg.so
    /var/.sslvpnconfigbk
    /data/etc/wxd.conf
    /flash

  • Connecties vanuit de FortiGate naar de volgende IP-adressen:

    188.34.130.40:444
    103.131.189.143:30080,30081,30443,20443
    192.36.119.61:8443,444
    172.247.168.153:8033


De meest actuele informatie is te vinden in deze advisory van Fortinet: FG-IR-22-398

NB: Het is nog niet bekend of het (tijdelijk) uitschakelen of afschermen van SSL-VPN een valide workaround is.

Wij staan voor je klaar!
Heb je een vraag? Dan zijn we bereikbaar via 085 - 018 5761 of support@mydigitals.nl.

Meer weten?

Bart Schultink helpt je graag verder. Je kunt hem bereiken op: bart@mydigitals.nl

Contact

Neem contact met ons op. We helpen je graag verder!

Contact
Volgend artikel

OpenSSL versie 3.0.7 lost kritische kwetsbaarheden op

Op 1 november 2022 heeft het OpenSSL-team een update uitgebracht voor een kwetsbaarheid die vooraf werd ingeschaald als CRITICAL, maar nu is bestempeld als HIGH. Lees hier wat je kunt doen.