toBizIT

2022/12/14

Fortinet 了解目前研究得知FortiGate 設備存在一個  SSL-VPN 漏洞可能允許未經身份驗證的遠端攻擊者，透過特製訪問請求進而執行任意代碼或命令。欲瞭解更多資訊，可參閱 Fortinet 最新的 部落格文章以及產品資安公告(PSIRT)。

若現行設備無法更新到所要求之版本，相關配套處理方式，請參考FortiGuard 網站PSIRT Advisory FG-IR-22-398 詳細資訊或洽詢所屬服務之經銷或代理業務窗口協助處理。

說明簡介：

FortiOS SSL-VPN 中使用堆疊的記憶體緩衝區溢位弱點 [CWE-122] 可能允許未經身份驗證的遠端攻擊者透過特製訪問要求進而執行任意代碼或命令。

弱點現況：

Fortinet 得知一個在野利用此漏洞的實例，並建議立即根據以下危害指標檢查您的系統，若發現多筆如下日誌：

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“

FortiOS系統中若發現存在以下檔案：

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

從 FortiGate 連接到可疑 IP 地址:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

受影響的產品：

FortiOS 版本7.2.0 到7.2.2
FortiOS 版本7.0.0 到7.0.8
FortiOS 版本6.4.0 到6.4.10
FortiOS 版本6.2.0 到6.2.11
FortiOS-6K7K 版本7.0.0 到7.0.7
FortiOS-6K7K 版本6.4.0 到6.4.9
FortiOS-6K7K 版本6.2.0 到6.2.11
FortiOS-6K7K 版本6.0.0 到6.0.14

解決辦法：

請升級至FortiOS 7.2.3或以上版本

請升級至FortiOS 7.0.9或以上版本

請升級至FortiOS 6.4.11或以上版本

請升級至FortiOS 6.2.12或以上版本

請升級至FortiOS-6K7K 7.0.8或以上版本

請升級至FortiOS-6K7K 6.4.10或以上版本

請升級至FortiOS-6K7K 6.2.12或以上版本

請升級至FortiOS-6K7K 6.0.15或以上版本

暫時解決辦法：

直接關閉 SSLVPN 功能。

https://m.fortinet.com.tw/site/agent-info/[]