Kritische Schwachstelle FortiOS – heap-based buffer overflow in sslvpnd

Fortinet hat eine Meldung zu einer kritischen Sicherheitslücke veröffentlicht:

https://fortiguard.fortinet.com/psirt/FG-IR-22-398

Es handelt sich dabei um einen Buffer Overflow im SSL-VPN Dienst des Forti Betriebssystems.
Dadurch können unautorisierte Angreifer Schadcode auf dem System ausführen und Befehle durch speziell geformte Anfragen ausführen.
Es ist bereits ein Fall bekannt, bei dem die Sicherheitslücke ausgenutzt wurde.

Fortinet empfiehlt die Systeme auf folgende Indicators of Compromise zu prüfen:

Mehrere Einträge mit folgendem Inhalt:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Gegenwart von folgenden Artifakten im Dateisystem:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

Verbindungen der Fortigate zu folgenden IP-Adressen:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

Empfohlener Workaround:

Abschalten von SSL-VPN

Betroffene FortiOS Version:

• FortiOS version 7.2.0 bis 7.2.2
• FortiOS version 7.0.0 bis 7.0.8
• FortiOS version 6.4.0 bis 6.4.10
• FortiOS version 6.2.0 bis 6.2.11
• FortiOS version 6.0.0 bis 6.0.15
• FortiOS version 5.6.0 bis 5.6.14
• FortiOS version 5.4.0 bis 5.4.13
• FortiOS version 5.2.0 bis 5.2.15
• FortiOS version 5.0.0 bis 5.0.14
• FortiOS-6K7K version 7.0.0 bis 7.0.7
• FortiOS-6K7K version 6.4.0 bis 6.4.9
• FortiOS-6K7K version 6.2.0 bis 6.2.11

Die Sicherheitslücke ist in folgenden Versionen gefixt:

• FortiOS version 7.2.3
• FortiOS version 7.0.9
• FortiOS version 6.4.11
• FortiOS version 6.2.12
• FortiOS-6K7K version 7.0.8 (noch nicht veröffentlicht)
• FortiOS-6K7K version 6.4.10
• FortiOS-6K7K version 6.2.12 (noch nicht veröffentlicht)
• FortiOS-6K7K version 6.0.15