Vulnerabilidad crítica de Fortinet está siendo explotada

13 Diciembre 2022
Crítico
Amenaza

 

Fortinet ha publicado un aviso de seguridad para una vulnerabilidad crítica descubierta por la firma de ciberseguridad Olympe Cyberdefense, identificada como CVE-2022-42475, de la cual estarían al tanto que está siendo explotada activamente, según se conoce por ahora, por un grupo de ransomware.

 

CVE-2022-42475 [CVSSv3: 9.3]
FortiOS: desbordamiento de búfer basado en montón en sslvpnd

Una vulnerabilidad de desbordamiento de búfer basada en montón en FortiOS SSL-VPN puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.

  • Productos afectados
    • FortiOS versión 7.2.0 a 7.2.2
    • FortiOS versión 7.0.0 a 7.0.8
    • FortiOS versión 6.4.0 a 6.4.10
    • FortiOS versión 6.2.0 a 6.2.11
    • FortiOS versión 6.0.0 a 6.0.15
    • FortiOS versión 5.6.0 a 5.6.14
    • FortiOS versión 5.4.0 a 5.4.13
    • FortiOS versión 5.2.0 a 5.2.15
    • FortiOS versión 5.0.0 a 5.0.14
    • FortiOS-6K7K versión 7.0.0 a 7.0.7
    • FortiOS-6K7K versión 6.4.0 a 6.4.9
    • FortiOS-6K7K versión 6.2.0 a 6.2.11
    • FortiOS-6K7K versión 6.0.0 a 6.0.14

 

Explotación activa

En el aviso de seguridad publicado por Fortinet declaran estar al tanto de una instancia en la que se explotó esta vulnerabilidad y recomienda validar inmediatamente sus sistemas contra los siguientes indicadores de compromiso que facilitan en su sitio web.

  • Múltiples entradas de registro con:
    • Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
  • Presencia de los siguientes artefactos en el sistema de archivos:
    • /data/lib/libips[.]bak
    • /data/lib/libgif[.]so
    • /data/lib/libiptcp[.]so
    • /data/lib/libipudp[.]so
    • /data/lib/libjepg[.]so
    • /var/[.]sslvpnconfigbk
    • /data/etc/wxd[.]conf
    • /flash
  • Conexiones a direcciones IP sospechosas desde FortiGate:
    • 188[.]34.130[.]40:444
    • 103[.]131.189[.]143:30080,30081,30443,20443
    • 192[.]36.119[.]61:8443,444
    • 172[.]247[.]168.153:8033
  • Solución alterna :
    • Deshabilite SSL-VPN.

 

 

Código fuente de Okta comprometido por ciberactores

Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades

ENTEL Weekly Threat Intelligence Brief del 12 al 18 de diciembre de 2022

 

 

Mitigación

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Deshabilite SSL-VPN.

El listado de las CVE se adjunta a continuación:
Tags: #Fortinet #Parche #Vulnerabilidad #FortiOS #Explotación #CVE-2022-42475
Fuentes utilizadas
https://www.fortiguard.com/psirt/FG-IR-22-...
https://securityaffairs.co/wordpress/13956...
  • Productos Afectados
  • Producto Versión
    FortiOS-6K7K anteriores a 6.0.15
    FortiOS anteriores a 6.2.12
Entel Corp.
Torre Entel,
Santiago, Chile
Enlaces Internos
Blogs de Seguridad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.