Beschrijving
Er is een kritieke kwetsbaarheid opgelost in FortiOS SSL-VPN. De kwetsbaarheid staat een ongeauthenticeerde aanvaller toe om het systeem over te nemen. Specifiek is er sprake van een ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet meldt dat er actief misbruik gemaakt wordt van deze kwetsbaarheid.
Het NCSC heeft deze kwetsbaarheid een High/High score gegeven. Pinewood is niet bekend met publieke aanvalscode voor deze kwetsbaarheid.
Kwetsbare versies
De kwetsbaarheid is opgelost de meest recente versie van de 7.2, 7.0, 6.4 en 6.2 series. Deze zijn uitgebracht tussen 1-22 november 2022.
FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14
Oplossing en workarounds
Pinewood adviseert om FortiOS bij te werken naar de meest recente, niet-kwetsbare versie. Als dit niet direct kan, dan is het advies om de SSL-VPN functie uit te schakelen tot de software is bijgewerkt naar een niet-kwetsbare versie.
Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare apparaten te onderzoeken op sporen van misbruik.
Detectie van mogelijk misbruik
Als eerste kan gezocht worden naar logging met de volgende gegevens:
Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”
Houdt bij het zoeken rekening met verschillende VDOM’s en het tijdfilter. Daarnaast kan gecontroleerd worden of er recent bestanden zijn aangemaakt met de volgende namen:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Dit kan gecontroleerd worden met de volgende commando’s:
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
Tenslotte kan gezocht worden naar uitgaande verbindingen vanaf de Fortigate naar de volgende IP:poort combinaties:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Bovenstaande indicatoren zijn overgenomen uit de PSIRT Advisory van Fortinet. Pinewood wil erop wijzen dat deze indicatoren indicatief zijn voor aanvallen die op dit moment uitgevoerd zijn of nog worden. Het is onbekend of de genoemde indicatoren altijd zichtbaar zijn bij een (succesvolle) aanval, of dat deze afhankelijk zijn van de specifieke manier waarop de aanvallen op dit moment uitgevoerd worden.
Meer informatie
https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)
Pinewood Managed Security Services
Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden en neemt hierover contact op.
Als u een Pinewood Security Operations Center (SOC) contact heeft, dan zorgt Pinewood voor detectie op de indicatoren die op dit moment bekend zijn.
Vragen
Voor vragen kunt u contact opnemen met de Pinewood Servicedesk (015 261 36 33) of via e-mail soc@pinewood.nl.
=====ENGLISH VERSION=====
Description
A critical vulnerability has been fixed in FortiOS SSL-VPN. The vulnerability allows an unauthenticated attacker to take over the system. Specifically, the vulnerability involves an ‘unauthenticated heap-based buffer overflow in sslvpnd’. Fortinet reports that this vulnerability is actively being exploited.
The Dutch NCSC has given this vulnerability a High/High score.
Pinewood is not aware of any public attack code for this vulnerability.
Vulnerable versions
The vulnerability has been fixed in the latest releases of the 7.2, 7.0, 6.4 and 6.2 series. These were released between 1-22 November 2022.
FortiOS 7.2.0 – 7.2.2
FortiOS 7.0.0 – 7.0.8
FortiOS 6.4.0 – 6.4.10
FortiOS 6.2.0 – 6.2.11
FortiOS-6K7K 7.0.0 – 7.0.7
FortiOS-6K7K 6.4.0 – 6.4.9
FortiOS-6K7K 6.2.0 – 6.2.11
FortiOS-6K7K 6.0.0 – 6.0.14
Solutions and workarounds
Pinewood recommends updating FortiOS to the latest, non-vulnerable version. If this cannot be done immediately, the advice is to disable the SSL-VPN feature until the software is updated to a non-vulnerable version.
Besides fixing the vulnerability, the advice is to examine vulnerable devices for signs of misuse.
Detection of possible misuse
First, search the logs of the Fortigate for the following data:
Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]”
When searching, keep in mind different VDOMs and the time filter.
In addition, check whether files with the following names have been created recently:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
This can be checked with the following commands:
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
Finally, look for outgoing connections from the Fortigate to the following IP:port combinations:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
The indicators above are taken from Fortinet’s PSIRT Advisory. Pinewood would like to point out that these indicators are indicative of attacks that have been or are currently being carried out. It is unknown whether the above indicators are always visible in a (successful) attack, or whether they depend on the specific way attacks are currently being carried out.
Extra info
https://advisories.ncsc.nl/advisory?id=NCSC-2022-0763
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate/ (FR)
Pinewood Managed Security Services
If you have a Pinewood Managed Security Services contract, no action is required. Pinewood will take the necessary measures to protect your environment from these vulnerabilities and contact you about them.
If you have a Pinewood Security Operations Centre (SOC) contact, Pinewood will provide detection on the indicators that are currently known.
Questions
For questions related to this vulnerability, please contact the Pinewood Servicedesk (015 261 36 33) or via e-mail soc@pinewood.nl. |