FortiGuard Labs meldet: Kritische Sicherheitslücke CVE-2022-42475 in FortiOS wird ausgenutzt

Sicherheit (Pexels, allgemeine Nutzung)[English]Die FortiGuard Labs haben am 12. Dezember 2022 eine kritische Sicherheitslücke CVE-2022-42475 in FortiOS gemeldet, die wohl eine Remote Code-Ausführung über SSL-VPN ermöglicht. Das Schlimme daran ist, dass diese Schwachstelle bereits in freier Wildbahn ausgenutzt wird. Der Hersteller  hat inzwischen Sicherheitsupdate von FortiOS für die betroffenen Versionen veröffentlicht.


Anzeige

Ich bin von zwei Blog-Lesern auf dieses Thema hingewiesen worden (danke dafür), welches von der FortiGuard Labs im PSIRT Advisory FG-IR-22-398 dokumentiert wurde. In FortiOS gibt es eine  Heap-basierte Pufferüberlauf-Schwachstelle CVE-2022-42475 in FortiOS SSL-VPN. Über diese Schwachstelle könnten nicht authentifizierten Angreifer beliebigen Code oder Befehle über speziell gestaltete Anfragen auszuführen. Die Schwachstelle CVE-2022-42475  hat den CVE-Wert 9.3 erhalten. Betroffen sind folgende Fortinet-Produkte:

FortiOS Version 7.2.0 bis 7.2.2
FortiOS Version 7.0.0 bis 7.0.8
FortiOS-Versionen 6.4.0 bis 6.4.10
FortiOS-Versionen 6.2.0 bis 6.2.11
FortiOS-6K7K Version 7.0.0 bis 7.0.7
FortiOS-6K7K Version 6.4.0 bis 6.4.9
FortiOS-6K7K Version 6.2.0 bis 6.2.11
FortiOS-6K7K Version 6.0.0 bis 6.0.14

Fortinet gibt an, dass bereits ein Fall bekannt ist, in dem diese Schwachstelle in freier Wildbahn ausgenutzt wurde. Der Hersteller empfiehlt, die Systeme sofort auf die folgenden Indikatoren für eine Kompromittierung zu überprüfen:

Mehrere Log-Einträge mit:

Logdesc="Application crashed" und msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"

Vorhandensein der folgenden Artefakte im Dateisystem:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Verbindungen zu verdächtigen IP-Adressen von FortiGate aus:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Finden sich Hinweise auf Infektionen, ist das System zu säubern (FortiOS clean install). Fortinet empfiehlt die betroffenen Produkte, abhängig von der installierten FotiOS-Version, auf folgende Software-Version zu aktualisieren, um die Schwachstelle zu schließen.

FortiOS Version 7.2.3 oder höher
FortiOS Version 7.0.9 oder höher
FortiOS Version 6.4.11 oder höher
FortiOS Version 6.2.12 oder höher
FortiOS-6K7K Version 7.0.8 oder höher
FortiOS-6K7K Version 6.4.10 oder höher
FortiOS-6K7K Version 6.2.12 oder höher
FortiOS-6K7K Version 6.0.15 oder höher

Sicherheitsforscher Will Dormann weist in einem Tweet darauf hin, dass die CVE-2022-42475 noch als "reserviert" gekennzeichnet ist. Einige der FortiOS-Updates ständen bereits seit einem Monat zur Verfügung. So soll das am 3. November 2022 freigegebene FortiOS 6.2.12 gemäß obiger Liste die Schwachstelle CVE-2022-42475 schließen. In den Release Notes ist aber nichts von einer Schwachstelle erwähnt worden.

Gleichzeitig hat Dormann einen Tweet von Joe Roosen eingebunden, nach dem die Schwachstelle bereits von Ransomware-Gruppen ausgenutzt werde. Es scheint, als ob Fortinet recht spät mit der Warnung ist – es ist also schnellstmögliches handeln angesagt.


Anzeige

Wie schrieb mir einer der Leser: Bei ihm seien wohl um die 200 Kunden betroffen, da die alle SSL-VPN einsetzen. Er darf jetzt die Kunden benachrichtigen und nachfragen, ob er mit den kostenpflichtigen Fortinet FortiOS-Updates patchen darf. Noch jemand, den dies tangiert?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu FortiGuard Labs meldet: Kritische Sicherheitslücke CVE-2022-42475 in FortiOS wird ausgenutzt

  1. nik_ventures sagt:

    Haben eine 100E im Einsatz. Bei den monatlichen Update-Checks war nichts zu sehen oder zu lesen von dieser Schwachstelle. Sind jetzt dabei, unsere FWs zu updaten ✌️

  2. Tippmann sagt:

    bei unseren beiden 100E wurde das Update 7.23 seit ca. 2 Wochen angezeigt

  3. Manuel sagt:

    Die schweren Lücken häufen sich aber enorm in letzter Zeit bei Forti. Ist ja schon fast auf Cisco Niveau.

    • Henry Barson sagt:

      Aber die Reaktionszeit für Firmware-Upgrades ist noch okay, auch die Behelfsanleitungen, wenn bspw., die Datensammelwut der FortiGate dazu führt, dass sie nicht einmal mehr ihr FW-Update herunterladen kann

      Viel schlimmer ist die Hardware-Lieferbarkeit (und das nicht erst seit Ukraine-/Taiwan-Konflikt) vor allem bei Switches und Access Points sieht es aktuell echt mau aus, bei einem Kunden, für den Ende Juni acht Indoor-APs bestellt wurden, warten wir immer noch drauf; Outdoor-APs in vergleichbarer Leistungsausstattung sind alternativ lieferbar, aber auch gleich drei mal so teuer, also keine Option, die der Kunde wünscht.

      • Manuel sagt:

        Reaktionszeit bei so kritischen Lücken muss schnell sein.
        Ich sehe eher das da wohl ziemliche Probleme mit Qualitätsmanagement sein müssen, dass sich solche Lücken überhaupt bei einer Firewall einschleichen können. Auch die letzten Lücken waren schon sehr fragwürdig.
        Die sollten besser mal ein komplette Codereview durchführen und die Programmierer schulen.

  4. Anonymous sagt:

    Da kann einiges in der Kommunikation nicht stimmen
    6.0.15 wurde vor 3 Monaten veröffentlicht
    Vor einer Woche ging auch eine vertrauliche BSI Warnung rum dass man Updaten soll, in der ersten Version war 6.0.x gar nicht erwähnt und auf Nachfrage gab es die Aussage ist betroffen und jetzt soll der Fix in der ältesten FortiOS Version die darüber hinaus auch nicht mehr supported mit 6.0.15 bereits gefixt sein? I smell bs.

    • Anonymous sagt:

      Das ist das FortiOS-6K7K nicht das normale FortiOS.
      Beim Normalen FortiOS 6.0.15 gehe ich davon aus, dass dies auch vulnerabel ist. Da aber kein Support mehr vorhanden ist, wird dies auch nicht explizit erwähnt.

    • Liam sagt:

      Mittlerweile wurde die betroffenen Versionen auch aktualisiert:

      Affected Products

      FortiOS version 7.2.0 through 7.2.2
      FortiOS version 7.0.0 through 7.0.8
      FortiOS version 6.4.0 through 6.4.10
      FortiOS version 6.2.0 through 6.2.11
      FortiOS version 6.0.0 through 6.0.15
      FortiOS version 5.6.0 through 5.6.14
      FortiOS version 5.4.0 through 5.4.13
      FortiOS version 5.2.0 through 5.2.15
      FortiOS version 5.0.0 through 5.0.14
      FortiOS-6K7K version 7.0.0 through 7.0.7
      FortiOS-6K7K version 6.4.0 through 6.4.9
      FortiOS-6K7K version 6.2.0 through 6.2.11
      FortiOS-6K7K version 6.0.0 through 6.0.14

      :)

  5. Harald sagt:

    "Wie schrieb mir einer der Leser: Bei ihm seien wohl um die 200 Kunden betroffen, da die alle SSL-VPN einsetzen. Er darf jetzt die Kunden benachrichtigen und nachfragen, ob er mit den kostenpflichtigen Fortinet FortiOS-Updates patchen darf"
    Warum kostenpflichtig? Das Update ist Teil des kleinsten Lizenzpakets. Zusatzkosten löst da nur die Dienstleistung aus.

    • Günter Born sagt:

      Müssten die Admins von Fortigate-Produkten beantworten können – ich gebe den Hinweis aus der Mail weiter. Möglicherweise hast Du mit dem Verweis auf die Zusatzkosten der Dienstleistung Recht.

      • Flo sagt:

        Stimmt schon so, die sind im kleinsten Paket dabei das man mit der Fg kauft. Wer nichtmal das hat braucht eigentlich überhaupt keine (ng) Firewall und könnte direkt eine Fritzbox nehmen. Da sind auch die Updates umsonst (scnr).

        Abseits davon wirkt das gerade alles ein wenig…seltsam. Da sind neue Firmwares samt dem Fix (grösstenteils?) schon eine Weile raus und dann wird mit dem Finger auf den Hersteller gezeigt weil manche das Einspielen verschleifen? Dass Hinweise in den Patchnotes fehlen oder nicht direkt bei Erscheinen ein dringender Hinweis mitgegeben wurde – diskutabel. Aber letztlich habe ich als Verantwortlicher die Dinger aktuell zu halten.

        • Michael sagt:

          Und da liegt die Crux, denn die Qualität der Updates der großen NG FW Anbieter, für Nischen kann ich nicht sprechen, aber die ist sehr mau. Und bei einem so komplexen, aber zentral empfindlichen System überlegt man sich mehrmals ob man wirklich ein reines Bugfix Release einspielt, für ein System, dass auf einem Stand ist, dass für einen funktioniert. Wenn also der Hinweis auf Security Patches fehlt ist es sehr wahrscheinlich, dass man das Release nicht einspielt es sei denn man ist von spezifischen Bugs betroffen, die business critical sind.

          TL;DR es ist ganz normal bei FW, dass man nicht jedes Bugfix Release einspielt, weil man sonst riskiert auf einem Stand zu landen der nicht so stabil ist wie der vorherige.

  6. Andi sagt:

    Hat wer von euch einen cli befehl zur Hand, wie man sich directories auflisten lassen kann, um zu prüfen, ob die o.a. Dateiartefakte zu finden sind?

  7. Thorsten Sult sagt:

    fnsysctl ls -la /data/lib/libips.bak
    fnsysctl ls -la /data/lib/libgif.so
    fnsysctl ls -la /data/lib/libiptcp.so
    fnsysctl ls -la /data/lib/libipudp.so
    fnsysctl ls -la /data/lib/libjepg.so
    fnsysctl ls -la /var/.sslvpnconfigbk
    fnsysctl ls -la /data/etc/wxd.conf
    fnsysctl ls -la /flash

    Kannst Du so in die CLI klatschen.

  8. Anonymous sagt:

    Danke für die Befehle!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.