Update 2022-12-23 (NL/EN)
Fortinet heeft een nieuwe versie van de security bulletin uitgebracht en aangegeven dat FortiProxy ook kwetsbaar is. Daarnaast zijn een aantal indicatoren (IoC’s) verwijderd.
Fortinet release a new version of the security advisory indicating that FortiProxy is also vulnerable. Additionally, several Indicators of Compromise have been removed.
Beschrijving
Er is een kritieke kwetsbaarheid opgelost in FortiOS SSL-VPN en FortiProxy. De kwetsbaarheid staat een ongeauthenticeerde aanvaller toe om het systeem over te nemen. Specifiek is er sprake van een ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet meldt dat er actief misbruik gemaakt wordt van deze kwetsbaarheid.
Het NCSC heeft deze kwetsbaarheid een High/High score gegeven.
Pinewood is niet bekend met publieke aanvalscode voor deze kwetsbaarheid.
Kwetsbare versies
De kwetsbaarheid is opgelost in FortiOS versies vanaf 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16. Deze zijn uitgebracht tussen 1-22 november 2022.
In FortiProxy is de kwetsbaarheid opgelost in de versies vanaf 7.2.2, 7.0.8 en (nog niet uitgebrachte) 2.0.12.
Onderstaande de kwetsbare versies
FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS 6.0.0 6.0.15
FortiOS 5.6.0 – 5.6.14
FortiOS 5.4.0 – 5.4.13
FortiOS 5.2.0 – 5.2.15
FortiOS 5.0.0 – 5.0.14
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14
FortiProxy 7.2.0 – 7.2.1
FortiProxy 7.0.0 – 7.0.7
FortiProxy 2.0.0 – 2.0.11
FortiProxy 1.2.0 – 1.2.13
FortiProxy 1.1.0 – 1.1.6
FortiProxy 1.0.0 – 1.0.7
Oplossing en workarounds
Pinewood adviseert om FortiOS en FortiProxy bij te werken naar de meest recente, niet-kwetsbare versie. Als dit niet direct kan, dan is het advies om de SSL-VPN functie uit te schakelen tot de software is bijgewerkt naar een niet-kwetsbare versie.
Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare apparaten te onderzoeken op sporen van misbruik.
Detectie van mogelijk misbruik
Als eerste kan gezocht worden naar logging met de volgende gegevens:
Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”
Houd bij het zoeken rekening met verschillende VDOM’s en het tijdfilter.
Daarnaast kan gecontroleerd worden of er recent bestanden zijn aangemaakt met de volgende namen:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Dit kan gecontroleerd worden met de volgende commando’s:
“`
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
“`
Tenslotte kan gezocht worden naar uitgaande verbindingen vanaf de Fortigate naar de volgende IP:poort combinaties:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
139.180.184.197
66.42.91.32
158.247.221.101
107.148.27.117
139.180.128.142
155.138.224.122
185.174.136.20
Bovenstaande indicatoren zijn overgenomen uit de PSIRT Advisory van Fortinet. Pinewood wil erop wijzen dat deze indicatoren indicatief zijn voor aanvallen die op dit moment uitgevoerd zijn of nog worden. Het is onbekend of de genoemde indicatoren altijd zichtbaar zijn bij een (succesvolle) aanval, of dat deze afhankelijk zijn van de specifieke manier waarop de aanvallen op dit moment uitgevoerd worden.
Meer informatie
https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420
Pinewood Managed Security Services
Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden en neemt hierover contact op.
Als u een Pinewood Security Operations Center (SOC) contact heeft, dan zorgt Pinewood voor detectie op de indicatoren die op dit moment bekend zijn.
Vragen
Voor vragen kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.
=====ENGLISH VERSION=====
Description
A critical vulnerability has been fixed in FortiOS SSL-VPN and FortiProxy. The vulnerability allows an unauthenticated attacker to take over the system. Specifically, the vulnerability involves an ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet reports that this vulnerability is actively being exploited.
The Dutch NCSC has given this vulnerability a High/High score.
Pinewood is unaware of public attack code for this vulnerability.
Vulnerable versions
The vulnerability is fixed in the following FortiOS versions 7.2.3, 7.0.9, 6.4.11, 6.2.12, 6.0.16 (or higher). These were released between 1-22 november.
In FortiProxy the vulnerability is fixed in versions 7.2.2, 7.0.8 and (not yet released) 2.0.12 (or higher).
The versions indicated below are vulnerable.
FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS 6.0.0 6.0.15
FortiOS 5.6.0 – 5.6.14
FortiOS 5.4.0 – 5.4.13
FortiOS 5.2.0 – 5.2.15
FortiOS 5.0.0 – 5.0.14
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14
FortiProxy 7.2.0 – 7.2.1
FortiProxy 7.0.0 – 7.0.7
FortiProxy 2.0.0 – 2.0.11
FortiProxy 1.2.0 – 1.2.13
FortiProxy 1.1.0 – 1.1.6
FortiProxy 1.0.0 – 1.0.7
Solutions and workarounds
Pinewood recommends updating FortiOS and FortiProxy to the latest, non-vulnerable version. If this cannot be done immediately, the advice is to disable the SSL-VPN feature until the software is updated to a non-vulnerable version.
Besides fixing the vulnerability, the advice is to examine vulnerable devices for signs of misuse.
Detection of possible misuse
First, search the logs of the Fortigate for the following data:
Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”
When searching, keep in mind different VDOMs and the time filter.
In addition, check whether files with the following names have been created recently:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
This can be checked with the following commands:
“`
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
“`
Finally, look for outgoing connections from the Fortigate to the following IP:port combinations:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
139.180.184.197
66.42.91.32
158.247.221.101
107.148.27.117
139.180.128.142
155.138.224.122
185.174.136.20
The indicators above are taken from Fortinet’s PSIRT Advisory. Pinewood would like to point out that these indicators are indicative of attacks that have been or are currently being carried out. It is unknown whether the above indicators are always visible in a (successful) attack, or whether they depend on the specific way attacks are currently being carried out.
Extra info
https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420
Pinewood Managed Security Services
If you have a Pinewood Managed Security Services contract, no action is required. Pinewood will take the necessary measures to protect your environment from these vulnerabilities and contact you about them.
If you have a Pinewood Security Operations Centre (SOC) contact, Pinewood will provide detection on the indicators that are currently known.
Questions
For questions related to this vulnerability, please contact the Pinewood Servicedesk (015- 251 3633) or via e-mail soc@pinewood.nl. |