Voltar

Productos Fortinet

Vulnerabilidad crítica
Productos Fortinet 15/12/2022

Desde AndalucíaCERT les informamos que la empresa Fortinet ha liberado parches de seguridad para corregir una vulnerabilidad crítica en su producto FortiOS VPN-SSL. La vulnerabilidad, a la que se le ha asignado el identificador CVE-2022-42475 y una puntuación de 9.3 en la escala CVSSv3, podría permitir a un atacante remoto no autenticado ejecutar código en los sistemas afectados.

Desde AndalucíaCERT debemos indicarles que esta vulnerabilidad está siendo activamente explotada por los cibercriminales.

Sistemas afectados:

  • FortiOS versión 7.2.0 hasta 7.2.2
  • FortiOS versión 7.0.0 hasta 7.0.8
  • FortiOS versión 6.4.0 hasta 6.4.10
  • FortiOS versión 6.2.0 hasta 6.2.11
  • FortiOS versión 6.0.0 hasta 6.0.15
  • FortiOS versión 5.6.0 hasta 5.6.14
  • FortiOS versión 5.4.0 hasta 5.4.13
  • FortiOS versión 5.2.0 hasta 5.2.15
  • FortiOS versión 5.0.0 hasta 5.0.14
  • FortiOS-6K7K versión 7.0.0 hasta 7.0.7
  • FortiOS-6K7K versión 6.4.0 hasta 6.4.9
  • FortiOS-6K7K versión 6.2.0 hasta 6.2.11
  • FortiOS-6K7K versión 6.0.0 hasta 6.0.14

Debido al riesgo potencial que presenta esta vulnerabilidad, desde AndalucíaCERT se recomienda:

  • Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante.

En caso de que no puedan actualizar de forma inmediata el fabricante recomienda aplicar las siguientes mitigaciones:

  • Deshabilitar el servicio SSL-VPN

Por otro lado, para determinar si sus sistemas han sido comprometidos, les recomendamos buscar la siguiente indicadores:

  • Múltiples entradas de logs con el siguiente patrón:

                  Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

  • Presencia de los siguientes artefactos en el  sistema de archivos:

                 /data/lib/libips.bak
                 /data/lib/libgif.so
                /data/lib/libiptcp.so
                /data/lib/libipudp.so
                /data/lib/libjepg.so
                /var/.sslvpnconfigbk
                /data/etc/wxd.conf
                /flash

  • Conexiones a direcciones IP sospechosas desde el FortiGate:

                188.34.130.40:444
                103.131.189.143:30080,30081,30443,20443
                192.36.119.61:8443,444
                172.247.168.153:8033

En caso de que los encuentren les rogamos que contacten con nosotros para gestionar el correspondiente incidente.

Pueden encontrar más información en el siguiente enlace:

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.