Talos™ Cyber Veille
Faille 0 day FortiGate VPN-SSL
CVE-2022-42475
09/12/2022
Alerte FortiGate – VPN SSL
Une nouvelle faille critique, pas encore rendue publique, (Edit 12/12/2022 : Fortigate vient d’officialiser la faille : https://www.fortiguard.com/psirt/FG-IR-22-398) concerne Fortinet sur ses pare-feux Fortigate et plus spécifiquement les fonctionnalités de SSL VPN.
Un attaquant peut effectuer :
- Manipulation des ressources dynamiques de certains processus jusqu’à en détourner leur fonctionnement,
- L’impact est une exécution arbitraire de code ou de commande.
Impact
Prise de contrôle totale des appareils infectés.
Score CVSS : 9.3 CRITIQUE
La faille est simple à exploiter.
Distributions vulnérables connue à cette date :
FortiOS version 7.2.0 à 7.2.2
FortiOS version 7.0.0 à 7.0.8
FortiOS version 6.4.0 à 6.4.10
FortiOS version 6.2.0 à 6.2.11
Edit 13/12/2022 : Fortinet vient d’ajouter les versions suivantes à la liste des versions vulnérables. Certaines de ces versions étant End-Of-Support, il faudra quitter ces releases pour se mettre à l’abris.
FortiOS version 6.0.0 à 6.0.15
FortiOS version 5.6.0 à 5.6.14
FortiOS version 5.4.0 à 5.4.13
FortiOS version 5.2.0 à 5.2.15
FortiOS version 5.0.0 à 5.0.14
FortiOS-6K7K version 7.0.0 à 7.0.7
FortiOS-6K7K version 6.4.0 à 6.4.9
FortiOS-6K7K version 6.2.0 à 6.2.11
FortiOS-6K7K version 6.0.0 à 6.0.14
Identifier et s’en prémunir
- Mettre à jour vers la dernière version proposée.
Passer en :
version 7.2.3 ou supérieur
version 7.0.9 ou supérieur
version 6.4.11 ou supérieur
version 6.2.12 ou supérieur
- Solutions à mettre en place à très court terme :Surveillez la présence de plusieurs types de logs sur votre pare-feu:
Logdesc="Application crashed" and msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"
- Repérez la présence des artéfacts suivants sur votre système d’information :
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Vous pouvez effectuer cette vérification via les commandes suivantes :
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
Si la mise à jour est impossible :
- Désactivez la fonctionnalité VPN-SSL si elle n’est pas essentielle
- Observez vos logs et vérifiez qu’aucun accès non autorisé n’a été effectué.
- Dans tous les cas mettez en place des règles d’accès conditionnels (comme GeoIP) pour limiter votre vecteur d’exposition
Edit 12/12/2022 : Fortigate vient d’officialiser la faille et indique qu’elle a déjà été exploitée. Les dernières versions des FortiOS corrigeraient la faille.