Taggat med: Fortinet

Kritisk sårbarhet i FortiOS

Kritisk sårbarhet i FortiOS

CERT-SE gick ut med en varning gällande en kritisk sårbarhet i FortiOS från Fortinet. Sårbarheten medger kodexekvering över nätverk.

Sårbarheten återfinnes i FortiOS sslvpnd-process och är en heap-baserad sårbarhet. Genom att stänga av VPN i FortiOS så kan man förhindra att sårbarheten kan utnyttjas.

Fortigate har även gått ut och meddelat att denna sårbarhet används aktivt på internet. Användare av FortiGates produkter med VPN påslaget bör titta i loggfilerna efter följande meddelande:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ 

Även så skrivs följande filer till filsystemet på FortiOS / Fortigate om enheten har blivit hackad:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Följande versioner är sårbara:

  • FortiOS version 7.2.0 till 7.2.2
  • FortiOS version 7.0.0 till 7.0.8
  • FortiOS version 6.4.0 till 6.4.10
  • FortiOS version 6.2.0 till 6.2.11
  • FortiOS version 6.0.0 till 6.0.15
  • FortiOS version 5.6.0 till 5.6.14
  • FortiOS version 5.4.0 till 5.4.13
  • FortiOS version 5.2.0 till 5.2.15
  • FortiOS version 5.0.0 till 5.0.14
  • FortiOS-6K7K version 7.0.0 till 7.0.7
  • FortiOS-6K7K version 6.4.0 till 6.4.9
  • FortiOS-6K7K version 6.2.0 till 6.2.11
  • FortiOS-6K7K version 6.0.0 till 6.0.14

Sårbarheten har CVE-2022-42475 och har kopplingar till ransomware-grupperingar som nyttjar denna sårbarhet för att installera ransomware. Se även information här på Franska.

DUHK: Ny kryptoattack

Forskarna Shaanan Cohney, Nadia Heninger samt Matthew D. Green har identifiera att slumptalsgeneratorn vid namn ANSI X9.31 fröas statiskt.

Detta innebär att en angripare som kan observera en handskakning har sedan möjlighet att dekryptera all kommunikation som går genom VPN-förbindelsen.

Enheter som forskarna identifierat som sårbara än så länge är FortiOS 4.3.0 till FortiOS 4.3.18 från Fortinet. Fortinet enligt datumstämpel släppte sin advisory 2016. Även är Cisco Aironet sårbar men den produkten stödjs inte längre av Cisco.

Denna sårbarhet har CVE-2016-8492. Och den hårdkodade nyckeln var: f3b1666d13607242ed061cabb8d46202 (zaybxcwdveuftgsh ?)

This scan allowed us to validate that — as of  October 2017 — the vulnerability was present and exploitable on more than 25,000 Fortinet devices across the Internet. Källa

Här kan du ladda hem forskningsrapporten med titeln ”Practical state recovery attacks against legacy RNG implementations”: