2022/12/14

Fortinet 了解目前研究得知FortiGate 设备存在一个 SSL-VPN 漏洞可能允许未经身份验证的远端攻击者,透过特制访问请求进而执行任意代码或命令。欲了解更多资讯,可参阅 Fortinet 最新的 部落格文章以及产品资安公告(PSIRT)。

若现行设备无法更新到所要求之版本,相关配套处理方式,请参考FortiGuard 网站PSIRT Advisory FG-IR-22-398 详细资讯或洽询所属服务之经销或代理业务窗口协助处理。

说明简介:

FortiOS SSL-VPN 中使用堆叠的内存缓冲区溢位弱点 [CWE-122] 可能允许未经身份验证的远端攻击者透过特制访问要求进而执行任意代码或命令。

弱点现况:

Fortinet 得知一个在野利用此漏洞的实例,并建议立即根据以下危害指标检查您的系统,若发现多笔如下日志:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“

FortiOS系统中若发现存在以下档案:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

从 FortiGate 连接到可疑 IP 地址:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

受影响的产品:

FortiOS 版本7.2.0 到7.2.2
FortiOS 版本7.0.0 到7.0.8
FortiOS 版本6.4.0 到6.4.10
FortiOS 版本6.2.0 到6.2.11
FortiOS-6K7K 版本7.0.0 到7.0.7
FortiOS-6K7K 版本6.4.0 到6.4.9
FortiOS-6K7K 版本6.2.0 到6.2.11
FortiOS-6K7K 版本6.0.0 到6.0.14

解决办法:

请升级至FortiOS 7.2.3或以上版本

请升级至FortiOS 7.0.9或以上版本

请升级至FortiOS 6.4.11或以上版本

请升级至FortiOS 6.2.12或以上版本

请升级至FortiOS-6K7K 7.0.8或以上版本

请升级至FortiOS-6K7K 6.4.10或以上版本

请升级至FortiOS-6K7K 6.2.12或以上版本

请升级至FortiOS-6K7K 6.0.15或以上版本

暂时解决办法:

直接关闭 SSLVPN 功能。

https://m.fortinet.com.tw/site/agent-info/[]

2022/10/10 CVE-2022-40684 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40684)

Product Security Incident Response Team  Advisory:PSIRT Advisory FG-IR-22-377(https://www.fortiguard.com/psirt/FG-IR-22-377)。

漏洞影响产品版本:

FortiOS 7.2.0到7.2.1

FortiOS 7.0.0到7.0.6

FortiProxy 7.2.0

FortiProxy 7.0.0到7.0.6

FortiSwitchManager 7.2.0

FortiSwitchManager 7.0.0

非受影响的版本不需担心此漏洞,不会造成任何影响。

若现行设备无法更新到所要求之版本,相关配套处理方式,请参考FortiGuard网站 PSIRT Advisory FG-IR-22-377