RESUMEN: Una vulnerabilidad de desbordamiento de búfer basado en heap [CWE-122] en FortiOS SSL-VPN puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente. --- ESTADO DE EXPLOTACIÓN: Fortinet tiene conocimiento de una instancia en la que se explotó esta vulnerabilidad y recomienda validar inmediatamente sus sistemas contra los siguientes indicadores de compromiso: 1. Múltiples entradas de registro con: Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ . 2. Presencia de los siguientes artefactos en el sistema de archivos: /data/lib/libips.bak ; /data/lib/libgif.so ; /data/lib/libiptcp.so ; /data/lib/libipudp.so ; /data/lib/libjepg.so ; /var/.sslvpnconfigbk ; /data/etc/wxd.conf ; /flash . 3. Conexiones a direcciones IP sospechosas desde FortiGate: 188.34.130.40:444 ; 103.131.189.143:30080,30081,30443,20443 ; 192.36.119.61:8443,444 ; 172.247.168.153:8033 . --- SOLUCIÓN ALTERNA: Deshabilite SSL-VPN.

FortiOS: versión 7.2.0 a 7.2.2 , versión 7.0.0 a 7.0.8 , versión 6.4.0 a 6.4.10 , versión 6.2.0 a 6.2.11 , versión 6.0.0 a 6.0.15 , versión 5.6.0 a 5.6.14 , versión 5.4.0 a 5.4.13 , versión 5.2.0 a 5.2.15 , versión 5.0.0 a 5.0.14 . --- FortiOS-6K7K: versión 7.0.0 a 7.0.7 , versión 6.4.0 a 6.4.9 , versión 6.2.0 a 6.2.11 , versión 6.0.0 a 6.0.14 .

Actualice a FortiOS: versión 7.2.3 o superior , versión 7.0.9 o superior , versión 6.4.11 o superior , versión 6.2.12 o superior . --- Actualice a FortiOS-6K7K: versión 7.0. 8 o superior (próxima) , versión 6.4.10 o superior , versión 6.2.12 o superior (próxima) , versión 6.0.15 o superior .

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es