Talos Cyber Veille

Faille 0 day FortiGate VPN-SSL

 CVE-2022-42475

09/12/2022

Centre des opérations de sécurité

Alerte FortiGate – VPN SSL


Une nouvelle faille critique, pas encore rendue publique, (Edit 12/12/2022 : Fortigate vient d’officialiser la faille : https://www.fortiguard.com/psirt/FG-IR-22-398) concerne Fortinet sur ses pare-feux Fortigate et plus spécifiquement les fonctionnalités de SSL VPN.

Un attaquant peut effectuer :

  • Manipulation des ressources dynamiques de certains processus jusqu’à en détourner leur fonctionnement,
  • L’impact est une exécution arbitraire de code ou de commande.

 Impact


Prise de contrôle totale des appareils infectés.


Score CVSS
: 9.3 CRITIQUE

La faille est simple à exploiter.

Distributions vulnérables connue à cette date :
FortiOS version 7.2.0 à 7.2.2
FortiOS version 7.0.0 à 7.0.8
FortiOS version 6.4.0 à 6.4.10
FortiOS version 6.2.0 à 6.2.11

Edit 13/12/2022 : Fortinet vient d’ajouter les versions suivantes à la liste des versions vulnérables. Certaines de ces versions étant End-Of-Support, il faudra quitter ces releases pour se mettre à l’abris.

FortiOS version 6.0.0 à 6.0.15
FortiOS version 5.6.0 à 5.6.14
FortiOS version 5.4.0 à 5.4.13
FortiOS version 5.2.0 à 5.2.15
FortiOS version 5.0.0 à 5.0.14
FortiOS-6K7K version 7.0.0 à 7.0.7
FortiOS-6K7K version 6.4.0 à 6.4.9
FortiOS-6K7K version 6.2.0 à 6.2.11
FortiOS-6K7K version 6.0.0 à 6.0.14

Identifier et s’en prémunir


  • Mettre à jour vers la dernière version proposée.
    Passer en :
    version 7.2.3 ou supérieur
    version 7.0.9 ou supérieur
    version 6.4.11 ou supérieur
    version 6.2.12 ou supérieur

 

  • Solutions à mettre en place à très court terme :Surveillez la présence de plusieurs types de logs sur votre pare-feu:
    Logdesc="Application crashed" and msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"
  • Repérez la présence des artéfacts suivants sur votre système d’information :
      • /data/lib/libips.bak
      • /data/lib/libgif.so
      • /data/lib/libiptcp.so
      • /data/lib/libipudp.so
      • /data/lib/libjepg.so
      • /var/.sslvpnconfigbk
      • /data/etc/wxd.conf
      • /flash
    Vous pouvez effectuer cette vérification via les commandes suivantes :
    diagnose sys last-modified-files /data/lib
    diagnose sys last-modified-files /var/
    diagnose sys last-modified-files /data/etc/
    diagnose sys last-modified-files /flash

Si la mise à jour est impossible :

  • Désactivez la fonctionnalité VPN-SSL si elle n’est pas essentielle
  • Observez vos logs et vérifiez qu’aucun accès non autorisé n’a été effectué.
  • Dans tous les cas mettez en place des règles d’accès conditionnels (comme GeoIP) pour limiter votre vecteur d’exposition

Edit 12/12/2022 : Fortigate vient d’officialiser la faille et indique qu’elle a déjà été exploitée. Les dernières versions des FortiOS corrigeraient la faille.