TLP:WHITE
FortiOS: desbordamiento de búfer basado en heap en sslvpnd
RESUMEN:
Una vulnerabilidad de desbordamiento de búfer basado en heap [CWE-122] en FortiOS SSL-VPN puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.
---
ESTADO DE EXPLOTACIÓN:
Fortinet tiene conocimiento de una instancia en la que se explotó esta vulnerabilidad y recomienda validar inmediatamente sus sistemas contra los siguientes indicadores de compromiso:
1. Múltiples entradas de registro con:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ .
2. Presencia de los siguientes artefactos en el sistema de archivos:
/data/lib/libips.bak ;
/data/lib/libgif.so ;
/data/lib/libiptcp.so ;
/data/lib/libipudp.so ;
/data/lib/libjepg.so ;
/var/.sslvpnconfigbk ;
/data/etc/wxd.conf ;
/flash .
3. Conexiones a direcciones IP sospechosas desde FortiGate:
188.34.130.40:444 ;
103.131.189.143:30080,30081,30443,20443 ;
192.36.119.61:8443,444 ;
172.247.168.153:8033 .
---
SOLUCIÓN ALTERNA:
Deshabilite SSL-VPN.
FortiOS:
versión 7.2.0 a 7.2.2 ,
versión 7.0.0 a 7.0.8 ,
versión 6.4.0 a 6.4.10 ,
versión 6.2.0 a 6.2.11 ,
versión 6.0.0 a 6.0.15 ,
versión 5.6.0 a 5.6.14 ,
versión 5.4.0 a 5.4.13 ,
versión 5.2.0 a 5.2.15 ,
versión 5.0.0 a 5.0.14 .
---
FortiOS-6K7K:
versión 7.0.0 a 7.0.7 ,
versión 6.4.0 a 6.4.9 ,
versión 6.2.0 a 6.2.11 ,
versión 6.0.0 a 6.0.14 .
Actualice a FortiOS:
versión 7.2.3 o superior ,
versión 7.0.9 o superior ,
versión 6.4.11 o superior ,
versión 6.2.12 o superior .
---
Actualice a FortiOS-6K7K:
versión 7.0. 8 o superior (próxima) ,
versión 6.4.10 o superior ,
versión 6.2.12 o superior (próxima) ,
versión 6.0.15 o superior .
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo
csirt@seresco.es