Fortinet mendesak pelanggan untuk menambal peralatan mereka terhadap kerentanan SSL-VPN FortiOS yang dieksploitasi secara aktif yang dapat memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi pada perangkat.
Cacat keamanan dilacak sebagai CVE-2022-40684 dan merupakan bug buffer overflow berbasis tumpukan di FortiOS sslvpnd. Ketika dieksploitasi, cacat tersebut dapat memungkinkan pengguna yang tidak diautentikasi merusak perangkat dari jarak jauh dan berpotensi melakukan eksekusi kode.
“Kerentanan buffer overflow berbasis heap [CWE-122] di FortiOS SSL-VPN memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode atau perintah arbitrer melalui permintaan yang dibuat khusus,” Fortinet memperingatkan dalam penasihat keamanan yang dirilis hari ini.
Seperti dilansir oleh LeMagITperusahaan keamanan siber Perancis Olympe Cyberdefense pertama kali diungkapkan kerentanan zero-day Fortinet, memperingatkan pengguna untuk memantau log mereka untuk aktivitas mencurigakan hingga tambalan dirilis.
Fortinet diam-diam memperbaiki bug tersebut pada tanggal 28 November ketika FortiOS 7.2.3 dirilis. Namun, perusahaan tidak mengungkapkan informasi tentang kerentanan dalam catatan rilis.
Hari ini, Fortinet merilis penasihat keamanan FG-IR-22-398memperingatkan bahwa kerentanan telah dieksploitasi secara aktif dalam serangan dan semua pengguna harus memperbarui ke versi berikut untuk memperbaiki bug.
FortiOS version 7.2.3 or above
FortiOS version 7.0.9 or above
FortiOS version 6.4.11 or above
FortiOS version 6.2.12 or above
FortiOS-6K7K version 7.0.8 or above
FortiOS-6K7K version 6.4.10 or above
FortiOS-6K7K version 6.2.12 or above
FortiOS-6K7K version 6.0.15 or aboveDieksploitasi secara aktif dalam serangan
Meskipun Fortinet belum memberikan informasi apa pun tentang bagaimana kelemahan itu dieksploitasi, mereka berbagi IOC terkait serangan.
Seperti yang dibagikan sebelumnya oleh Olympe Cyberdefense dan sekarang Fortinet, ketika kerentanan dieksploitasi, itu akan menghasilkan entri berikut di log:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“Fortinet memperingatkan bahwa artefak sistem file berikut akan ada di perangkat yang dieksploitasi:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flashFortinet juga membagikan daftar alamat IP yang terlihat mengeksploitasi kerentanan, tercantum di bawah ini.
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033Dari alamat IP ini, perusahaan intelijen ancaman Gray Noise telah mendeteksi alamat 103.131.189.143 yang sebelumnya melakukan pemindaian jaringan pada bulan Oktober.
Jika Anda tidak dapat segera menerapkan tambalan, Olympe Cyberdefense menyarankan pelanggan memantau log, menonaktifkan fungsi VPN-SSL, dan membuat aturan akses untuk membatasi koneksi dari alamat IP tertentu.
