Разработчики Fortinet выпустили внеплановый патч, который устраняет уязвимость в FortiOS SSL-VPN, уже находящуюся под атаками. Эта проблема позволяет добиться на уязвимых устройствах удаленного выполнения кода без аутентификации.
Уязвимость получила идентификатор CVE-2022-42475 и представляет собой ошибку переполнения буфера хипа в FortiOS sslvpnd. В случае успешной эксплуатации она позволяет неавторизованным пользователям удаленно провоцировать сбои в работе устройств, а также выполнять произвольный код или команды с помощью специально подготовленных запросов.
Эту проблему обнаружили специалисты из французской компании Olympe Cyberdefense, предупредив пользователей о необходимости отслеживать логи на предмет подозрительной активности, пока не будет выпущено исправление. Инженеры Fortinet исправили ошибку еще 28 ноября, без лишней огласки выпустив FortiOS 7.2.3, но тогда не опубликовали никакой информации о том, что уязвимость представляет собой 0-day и используется хакерами.
На этой неделе Fortinet наконец выпустила бюллетень безопасности FG-IR-22-398, в котором публично предупредила клиентов, что уязвимость уже активно используется в атаках, и всем следует как можно быстрее установить обновления, чтобы исправить ошибку.
Хотя разработчики не сообщают о том, как используется уязвимость, они поделились связанными с ней индикаторами компрометации. Как сообщали ранее эксперты Olympe Cyberdefense, а теперь и сама Fortinet, при эксплуатации уязвимости в журналах появляются записи следующего вида: Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“.
Кроме того, на взломанных устройствах будут присутствовать следующие артефакты файловой системы:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Также Fortinet поделилась списком IP-адресов, с которых исходили атаки на уязвимость:
• 188.34.130.40:444
• 103.131.189.143:30080,30081,30443,20443
• 192.36.119.61:8443,444
• 172.247.168.153:8033
