Update

Het Cybersecurity Dreigingsbeeld en advies rapport is uit! Download hem hier.

Lees verder

Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475

UPDATE: Pinewood Security Bulletin – FortiOS critical vulnerability in SSL-VPN – FG-IR-22-398 – CVE-2022-42475

For English, see below

Update 2022-12-23 (NL/EN)

Fortinet heeft een nieuwe versie van de security bulletin uitgebracht en aangegeven dat FortiProxy ook kwetsbaar is. Daarnaast zijn een aantal indicatoren (IoC’s) verwijderd.

Fortinet release a new version of the security advisory indicating that FortiProxy is also vulnerable. Additionally, several Indicators of Compromise have been removed.

Beschrijving

Er is een kritieke kwetsbaarheid opgelost in FortiOS SSL-VPN en FortiProxy. De kwetsbaarheid staat een ongeauthenticeerde aanvaller toe om het systeem over te nemen. Specifiek is er sprake van een ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet meldt dat er actief misbruik gemaakt wordt van deze kwetsbaarheid.

Het NCSC heeft deze kwetsbaarheid een High/High score gegeven.

Pinewood is niet bekend met publieke aanvalscode voor deze kwetsbaarheid.

Kwetsbare versies

De kwetsbaarheid is opgelost in FortiOS versies vanaf 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16. Deze zijn uitgebracht tussen 1-22 november 2022.

In FortiProxy is de kwetsbaarheid opgelost in de versies vanaf 7.2.2, 7.0.8 en (nog niet uitgebrachte) 2.0.12.

Onderstaande de kwetsbare versies

FortiOS 7.2.0 – 7.2.2

FortiOS 7.0.0 – 7.0.8

FortiOS 6.4.0 – 6.4.10

FortiOS 6.2.0 – 6.2.11

FortiOS 6.0.0 6.0.15

FortiOS 5.6.0 – 5.6.14

FortiOS 5.4.0 – 5.4.13

FortiOS 5.2.0 – 5.2.15

FortiOS 5.0.0 – 5.0.14

FortiOS-6K7K 7.0.0 – 7.0.7

FortiOS-6K7K 6.4.0 – 6.4.9

FortiOS-6K7K 6.2.0 – 6.2.11

FortiOS-6K7K 6.0.0 – 6.0.14

FortiProxy 7.2.0 – 7.2.1

FortiProxy 7.0.0 – 7.0.7

FortiProxy 2.0.0 – 2.0.11

FortiProxy 1.2.0 – 1.2.13

FortiProxy 1.1.0 – 1.1.6

FortiProxy 1.0.0 – 1.0.7

Oplossing en workarounds

Pinewood adviseert om FortiOS en FortiProxy bij te werken naar de meest recente, niet-kwetsbare versie. Als dit niet direct kan, dan is het advies om de SSL-VPN functie uit te schakelen tot de software is bijgewerkt naar een niet-kwetsbare versie.

Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare apparaten te onderzoeken op sporen van misbruik.

Detectie van mogelijk misbruik

Als eerste kan gezocht worden naar logging met de volgende gegevens:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

Houd bij het zoeken rekening met verschillende VDOM’s en het tijdfilter.

Daarnaast kan gecontroleerd worden of er recent bestanden zijn aangemaakt met de volgende namen:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

Dit kan gecontroleerd worden met de volgende commando’s:

“`

diagnose sys last-modified-files /data/lib

diagnose sys last-modified-files /var/

diagnose sys last-modified-files /data/etc/

diagnose sys last-modified-files /flash

“`

Tenslotte kan gezocht worden naar uitgaande verbindingen vanaf de Fortigate naar de volgende IP:poort combinaties:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20

Bovenstaande indicatoren zijn overgenomen uit de PSIRT Advisory van Fortinet. Pinewood wil erop wijzen dat deze indicatoren indicatief zijn voor aanvallen die op dit moment uitgevoerd zijn of nog worden. Het is onbekend of de genoemde indicatoren altijd zichtbaar zijn bij een (succesvolle) aanval, of dat deze afhankelijk zijn van de specifieke manier waarop de aanvallen op dit moment uitgevoerd worden.

Meer informatie

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763

https://www.fortiguard.com/psirt/FG-IR-22-398

https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420

Pinewood Managed Security Services

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden en neemt hierover contact op.

Als u een Pinewood Security Operations Center (SOC) contact heeft, dan zorgt Pinewood voor detectie op de indicatoren die op dit moment bekend zijn.

Vragen

Voor vragen kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.

=====ENGLISH VERSION=====

Description

A critical vulnerability has been fixed in FortiOS SSL-VPN and FortiProxy. The vulnerability allows an unauthenticated attacker to take over the system. Specifically, the vulnerability involves an ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet reports that this vulnerability is actively being exploited.

The Dutch NCSC has given this vulnerability a High/High score.

Pinewood is unaware of public attack code for this vulnerability.

Vulnerable versions

The vulnerability is fixed in the following FortiOS versions 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16 (or higher). These were released between 1-22 november.

In FortiProxy the vulnerability is fixed in versions 7.2.2, 7.0.8 and (not yet released) 2.0.12 (or higher).

The versions indicated below are vulnerable.

FortiOS 7.2.0 – 7.2.2

FortiOS 7.0.0 – 7.0.8

FortiOS 6.4.0 – 6.4.10

FortiOS 6.2.0 – 6.2.11

FortiOS 6.0.0 6.0.15

FortiOS 5.6.0 – 5.6.14

FortiOS 5.4.0 – 5.4.13

FortiOS 5.2.0 – 5.2.15

FortiOS 5.0.0 – 5.0.14

FortiOS-6K7K 7.0.0 – 7.0.7

FortiOS-6K7K 6.4.0 – 6.4.9

FortiOS-6K7K 6.2.0 – 6.2.11

FortiOS-6K7K 6.0.0 – 6.0.14

FortiProxy 7.2.0 – 7.2.1

FortiProxy 7.0.0 – 7.0.7

FortiProxy 2.0.0 – 2.0.11

FortiProxy 1.2.0 – 1.2.13

FortiProxy 1.1.0 – 1.1.6

FortiProxy 1.0.0 – 1.0.7

Solutions and workarounds

Pinewood recommends updating FortiOS and FortiProxy to the latest, non-vulnerable version. If this cannot be done immediately, the advice is to disable the SSL-VPN feature until the software is updated to a non-vulnerable version.

Besides fixing the vulnerability, the advice is to examine vulnerable devices for signs of misuse.

Detection of possible misuse

First, search the logs of the Fortigate for the following data:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”

When searching, keep in mind different VDOMs and the time filter.

In addition, check whether files with the following names have been created recently:

/data/lib/libips.bak

/data/lib/libgif.so

/data/lib/libiptcp.so

/data/lib/libipudp.so

/data/lib/libjepg.so

/var/.sslvpnconfigbk

/data/etc/wxd.conf

/flash

This can be checked with the following commands:

“`

diagnose sys last-modified-files /data/lib

diagnose sys last-modified-files /var/

diagnose sys last-modified-files /data/etc/

diagnose sys last-modified-files /flash

“`

Finally, look for outgoing connections from the Fortigate to the following IP:port combinations:

188.34.130.40:444

103.131.189.143:30080,30081,30443,20443

192.36.119.61:8443,444

172.247.168.153:8033

139.180.184.197

66.42.91.32

158.247.221.101

107.148.27.117

139.180.128.142

155.138.224.122

185.174.136.20

The indicators above are taken from Fortinet’s PSIRT Advisory. Pinewood would like to point out that these indicators are indicative of attacks that have been or are currently being carried out. It is unknown whether the above indicators are always visible in a (successful) attack, or whether they depend on the specific way attacks are currently being carried out.

Extra info

https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763

https://www.fortiguard.com/psirt/FG-IR-22-398

https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420

Pinewood Managed Security Services

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood will take the necessary measures to protect your environment from these vulnerabilities and contact you about them.

If you have a Pinewood Security Operations Centre (SOC) contact, Pinewood will provide detection on the indicators that are currently known.

Questions

For questions related to this vulnerability, please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl