Fortinet FortiOS 是美国飞塔(Fortinet)公司的一套专用于 FortiGate 网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。
美创安全实验室监测到Fortinet官方发布安全公告,修复了 Fortinet FortiOS sslvpnd远程代码执行漏洞,漏洞编号:CVE-2022-42475,漏洞等级:高危。FortiOS sslvpnd存在堆溢出漏洞,未经身份验证的远程攻击者通过特制请求触发堆溢出,从而在目标系统上执行任意代码或命令。该漏洞影响Fortinet防火墙和SSL VPN等产品。
目前,官方已监测到在野利用,请用户及时确认是否受到漏洞影响,尽快更新到安全版本。
-
7.2.0 <= FortiOS <= 7.2.2 -
7.0.0 <= FortiOS <= 7.0.8 -
6.4.0 <= FortiOS <= 6.4.10 -
6.2.0 <= FortiOS <= 6.2.11 -
7.0.0 <= FortiOS-6K7K <= 7.0.7 -
6.4.0 <= FortiOS-6K7K <= 6.4.9 -
6.2.0 <= FortiOS-6K7K <= 6.2.11 -
6.0.0 <= FortiOS-6K7K <= 6.0.14
安全版本:
-
FortiOS >= 7.2.3
-
FortiOS >= 7.0.9
-
FortiOS >= 6.4.11
-
FortiOS >= 6.2.12
-
FortiOS-6K7K >= 7.0.8
-
FortiOS-6K7K >= 6.4.10
-
FortiOS-6K7K >= 6.2.12
-
FortiOS-6K7K >= 6.0.15
通用修补建议:
根据影响版本中的信息,排查并升级到安全版本。
攻击排查建议:
-
检查系统中是否存在以下文件:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
diagnose sys last-modified-files /data/lib
diagnose sys last-modified-files /var/
diagnose sys last-modified-files /data/etc/
diagnose sys last-modified-files /flash
-
检查是否存在下列日志项:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"
-
检查FortiGate是否存在以下IP的TCP连接:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
原文始发于微信公众号(第59号):【漏洞通告】 Fortinet FortiOS sslvpnd远程代码执行漏洞(CVE-2022-42475)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论