Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Alert. Nowa krytyczna podatność w Fortigate umożliwia przejęcie urządzenia. Trwa aktywna exploitacja! CVE-2022-42475
O szczegółach donosi sam Fortinet:
A heap-based buffer overflow vulnerability [CWE-122] in FortiOS SSL-VPN may allow a remote unauthenticated attacker to execute arbitrary code or commands via specifically crafted requests.
Jak widać wykorzystanie luki nie wymaga uwierzytelnienia, a napastnik otrzymuje możliwość wykonywania poleceń na atakowanym urządzeniu.
Co ciekawe podatność jest aktywnie wykorzystywana, więc prawdopodobnie był to 0-day:
Fortinet is aware of an instance where this vulnerability was exploited in the wild, and recommends immediately validating your systems against the following indicators of compromise (…)
Podatne wersje FortiOS:
FortiOS version 7.2.0 through 7.2.2
FortiOS version 7.0.0 through 7.0.8
FortiOS version 6.4.0 through 6.4.10
FortiOS version 6.2.0 through 6.2.11
FortiOS-6K7K version 7.0.0 through 7.0.7
FortiOS-6K7K version 6.4.0 through 6.4.9
FortiOS-6K7K version 6.2.0 through 6.2.11
FortiOS-6K7K version 6.0.0 through 6.0.14
Uwaga, jest to inna podatność niż ta, którą relacjonowaliśmy w październiku 2022r.
~Michał Sajdak
Ludzie płacą za tego Fortiego krocie, płatny support i słabo to wygląda – zrozumiał bym jeszcze, że sam router ma taką dziurę i można zabezpieczyć się poprzez dostęp tylko dla wybranych osób/adresów, ale tu chodzi o VPNa, do którego ma dostęp cały świat;)
Ludzie płacą też za tego Applego, Majkrosofta, Sisko i inne. I też są podatności. Ludzie nie płacą za Chrome’a Firefoxa i Operę/Brave/itp, Linuxa i całość open source i też są podatności.
Ba! Linuxy i Windowsy są dostępne dla całego świata, nie tylko z VPN, ale i bezpośrednio, a Przeglądarkami łączysz się do stron i usług w niebezpiecznym internecie.
Twój argument ad Forti wyłącznie jest dla mnie niejasny.
Z tego rozumiem to dotyczy to fortissl, jeśli ktoś nie wystawia usługi vpn na publiczny adres to rozumiem że spreparowany request zostanie odrzucony? Oczywiście biorę pod uwagę gdy ktoś robił hardening swojego FG i dodał wpis denny dla wszystkich pakietów w chain input (no chyba że potrzebne dopuszczenia do portów innhch usług np do ipsec’a)
*pisząc: usługi vpn -miałem na myśli fortissl, wiem że ipsec to też vpn 😅
Czy ktoś może potwierdzić czy o fakcie wykorzystania podatności świadczy występowanie jednego z trzech opisanych indykatorów czy muszą byś wszystkie? Chodzi mi np o monitorowanie obecności logów „Application crashed” na swojej zaporze sieciowej,
Czyli znowu dot. to niezaktualizowanych wersji :)
Załatane :)
Tak to jest jak kody źródłowe daje się ruskim żeby muc dostać ich zasraną certyfikację i możliwość sprzedaży na ich zakichany rynek. Zachłanność zawsze nie popłaca.
Takie review kodu nie wyglada tak jak piszesz, ze ktos udostepnia zrodla i komus przekazuje. Review kodu zazwyczaj odbywa sie na miejscu u producenta w odpowiednio chronionych fizycznie pomieszczeniach, z uzyciem stacji ktora jest odseparowna od internetu.
Zakladam, ze uzywajac innych znanych dla FortiOS podatnosci,
ktos sobie pobral odpowiednie binarki, zrobili rev eng.
Jak wskazuje tresc artykulu to jest bład typu heap-based buffer overflow, co oznacza że poza samych przepelnieniem buffora atakujacy musi miec jakis memory leak zidentyfikowany, ktory pozwoli mu na exploitacje heap-based buffer overflow.
Ciekawi mnie tez jak skompilowana jest binarka, ktora slucha na porcie SSL-VPN, zakładam że brak PIE, Stack Canaries itp.
To nie są żadne podatności. To są znane i z premedytacją pozostawione backdoory dla służb. I ma to nie tylko Fortinet ale wszyscy gracze, którzy chcą sprzedawać w USA.
W patchu 7.2.3 załatali tę „podatność” (bo wyciekła), a w zamian na 100% jest tam inny backdoor, który może kiedyś też wyjdzie na światło dzienne.