CERT-SE gick ut med en varning gällande en kritisk sårbarhet i FortiOS från Fortinet. Sårbarheten medger kodexekvering över nätverk.

Sårbarheten återfinnes i FortiOS sslvpnd-process och är en heap-baserad sårbarhet. Genom att stänga av VPN i FortiOS så kan man förhindra att sårbarheten kan utnyttjas.

Fortigate har även gått ut och meddelat att denna sårbarhet används aktivt på internet. Användare av FortiGates produkter med VPN påslaget bör titta i loggfilerna efter följande meddelande:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“ 

Även så skrivs följande filer till filsystemet på FortiOS / Fortigate om enheten har blivit hackad:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Följande versioner är sårbara:

• FortiOS version 7.2.0 till 7.2.2
• FortiOS version 7.0.0 till 7.0.8
• FortiOS version 6.4.0 till 6.4.10
• FortiOS version 6.2.0 till 6.2.11
• FortiOS version 6.0.0 till 6.0.15
• FortiOS version 5.6.0 till 5.6.14
• FortiOS version 5.4.0 till 5.4.13
• FortiOS version 5.2.0 till 5.2.15
• FortiOS version 5.0.0 till 5.0.14
• FortiOS-6K7K version 7.0.0 till 7.0.7
• FortiOS-6K7K version 6.4.0 till 6.4.9
• FortiOS-6K7K version 6.2.0 till 6.2.11
• FortiOS-6K7K version 6.0.0 till 6.0.14

Sårbarheten har CVE-2022-42475 och har kopplingar till ransomware-grupperingar som nyttjar denna sårbarhet för att installera ransomware. Se även information här på Franska.