2min Security

Fortinet waarschuwt voor actief misbruikte bug in FortiOS SSL-VPN

Fortinet waarschuwt voor actief misbruikte bug in FortiOS SSL-VPN

Fortinet heeft een kwetsbaarheid opgelost voor de SSL-VPN-functionaliteit in besturingssysteem FortiOS. De kwetsbaarheid wordt al actief misbruikt, snel patchen is gewenst.

De kwetsbaarheid kwam aan het licht door onderzoek van het Franse Olympe Cyberdefense. De aangetroffen kwetsbaarheid CVE-2022-42475 kan niet-geauthenticeerde cybercriminelen op afstand in staat stellen willekeurige code te draaien op getroffen devices met de FortiOS SSL-VPN-functionaliteit.

Testen op kwetsbaarheid

Fortinet waarschuwt dat de kwetsbaarheid door cybercriminelen wordt toegepast en roept klanten op snel de patch door te voeren. Deze patch is uitgebracht met de release van FortiOS 7.2.3.

Klanten met FortiOS kunnen testen of de kwetsbaarheid al wordt misbruikt. Dit met verschillende log entries die ‘Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“ ‘ bevatten.

Ook kunnen zij kijken naar verschillende zaken die in het filesystem worden aangetroffen. Dit zijn: /data/lib/libips.bak, /data/lib/libgif.so, /data/lib/libiptcp.so, /data/lib/libipudp.so, /data/lib/libjepg.so, /var/.sslvpnconfigbk, /data/etc/wxd.conf en /flash.

Verder kunnen klanten ook verdachte IP-adressen in de gaten houden vanuit de FortiGate-omgeving. De adressen zijn:

  • 188.34.130.40:444
  • 103.131.189.143:30080,30081,30443,20443,
  • 192.36.119.61:8443,444
  • 172.247.168.153:8033

Getroffen versies FortiOS

De getroffen versies van FortiOS zijn: FortiOS v7.2.0 tot en met v7.2.2, FortiOS v7.0.0 tot en met v7.0.8,  FortiOS v6.4.0 tot en met v6.4.10, FortiOS v6.2.0 tot en met v6.2.11, FortiOS-6K7K v7.0.0 tot en met v7.0.7, FortiOS-6K7K v6.4.0 tot en met  v6.4.9, FortiOS-6K7K v6.2.0 tot en met v6.2.11 en  FortiOS-6K7K v6.0.0 tot en met v6.0.14.

Tip: Fortinet brengt FortiGate CNF naar AWS