フォーティネットは、デバイス上での認証されていないリモート コード実行を可能にする可能性のある、積極的に悪用されている FortiOS SSL-VPN の脆弱性に対して、アプライアンスにパッチを適用することをお客様に強く勧めています。
セキュリティ上の欠陥は CVE-2022-42475 として追跡されており、FortiOS sslvpnd のヒープベースのバッファ オーバーフロー バグです。この脆弱性が悪用されると、認証されていないユーザーがリモートでデバイスをクラッシュさせ、コードを実行できる可能性があります。
「FortiOS SSL-VPN のヒープベースのバッファ オーバーフローの脆弱性 [CWE-122] により、認証されていないリモートの攻撃者が、特別に細工されたリクエストを介して任意のコードまたはコマンドを実行できる可能性があります」と、Fortinet は本日リリースされたセキュリティ アドバイザリで警告しています。
LeMagITが報告したように、フランスのサイバーセキュリティ企業である Olympe Cyberdefense が最初に Fortinet のゼロデイ脆弱性を公開し、パッチがリリースされるまで疑わしいアクティビティがないかログを監視するようユーザーに警告しました。
Fortinet は 11 月 28 日に FortiOS 7.2.3 (以前にリリースされた他のバージョン) のバグを静かに修正しましたが、ゼロデイとして悪用されたという情報は一切公開していません。
しかし、同社は 12 月 7 日にバグに関する詳細情報を記載した非公開の TLP:Amber アドバイザリを顧客に発行したことを知りました。
本日、フォーティネットはセキュリティ アドバイザリFG-IR-22-398をリリースし、この脆弱性が積極的に攻撃に悪用されていること、およびすべてのユーザーがバグを修正するために次のバージョンに更新する必要があることを公に警告しています。
FortiOS version 7.2.3 or above FortiOS version 7.0.9 or above FortiOS version 6.4.11 or above FortiOS version 6.2.12 or above FortiOS-6K7K version 7.0.8 or above FortiOS-6K7K version 6.4.10 or above FortiOS-6K7K version 6.2.12 or above FortiOS-6K7K version 6.0.15 or above攻撃で積極的に悪用される
フォーティネットは、この脆弱性が悪用される方法に関する情報を提供していませんが、攻撃に関連する IOC を共有しています。
以前に Olympe Cyberdefense と現在は Fortinet によって共有されているように、脆弱性が悪用されると、ログに次のエントリが生成されます。
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“フォーティネットは、悪用されたデバイスに次のファイル システム アーティファクトが存在する可能性があると警告しました。
/data/lib/libips.bak /data/lib/libgif.so /data/lib/libiptcp.so /data/lib/libipudp.so /data/lib/libjepg.so /var/.sslvpnconfigbk /data/etc/wxd.conf /flashFortinet は、脆弱性を悪用した IP アドレスのリストも共有しました。
188.34.130.40:444 103.131.189.143:30080,30081,30443,20443 192.36.119.61:8443,444 172.247.168.153:8033これらの IP アドレスのうち、103.131.189.143 というアドレスは、10 月にネットワーク スキャンを実行した脅威インテリジェンス会社 Gray Noise によって検出されました。
パッチをすぐに適用できない場合、Olympe Cyberdefense は、顧客がログを監視し、VPN-SSL 機能を無効にし、特定の IP アドレスからの接続を制限するアクセス ルールを作成することを提案します。
2022 年 12 月 12 日更新: プライベート アドバイザリに関する情報を追加しました。 CVE を修正しました。
Comments