BlogNoticias

Inserido em: 13/12/2022

CVE-2022-42475: Encontrada vulnerabilidade explorada ativamente no Fortinet FortiOS

Fortinet

A Fortinet informou na segunda-feira aos clientes sobre uma vulnerabilidade crítica descoberta em seu produto FortiOS, que foi amplamente explorada.

Este CVE recebeu uma classificação de gravidade “crítica”. A falha rastreada como CVE-2022-42475 (pontuação CVSS: 9,3), afeta o FortiOS SSL-VPN e permite que um invasor faça um ataque de “Buffer overflow” e execute código arbitrário no sistema, devido à verificação imprópria de limites pelo SSL-VPN.

“Uma vulnerabilidade de estouro de buffer baseada em heap [CWE-122] no FortiOS SSL-VPN pode permitir que um invasor remoto não autenticado, execute códigos ou comandos arbitrários por meio de solicitações especificamente criadas”, alerta a Fortinet em um comunicado de segurança.

“A Fortinet está ciente que essa vulnerabilidade foi explorada amplamente”, observa a empresa.

A falha afeta as seguintes versões dos FortiOS:

  • FortiOS version 7.2.0 through 7.2.2
  • FortiOS version 7.0.0 through 7.0.8
  • FortiOS version 6.4.0 through 6.4.10
  • FortiOS version 6.2.0 through 6.2.11
  • FortiOS-6K7K version 7.0.0 through 7.0.7
  • FortiOS-6K7K version 6.4.0 through 6.4.9
  • FortiOS-6K7K version 6.2.0 through 6.2.11
  • FortiOS-6K7K version 6.0.0 through 6.0.14

A Fortinet foi corrigiu a vulnerabilidade (CVE-2022-42475), nas versões FortiOS 7.2.3, 7.0.9, 6.4.11, 6.2.12, 7.0.8, 6.4.10, 6.2.12 e 6.0.15.

A empresa recomendou que os clientes atualizassem imediatamente seus produtos, já que invasores podem explorar remotamente a vulnerabilidade.

A empresa compartilhou informações de conexões com endereços IP suspeitos, que podem ajudar na detecção de possíveis invasões:

  • 188.34.130.40:444
  • 103.131.189.143:30080,30081,30443,20443
  • 192.36.119.61:8443,444
  • 172.247.168.153:8033

A empresa também divulgou informações sobre a presença dos seguintes artefatos no sistema de arquivos:

  • /data/lib/libips.bak
  • /data/lib/libgif.so
  • /data/lib/libiptcp.so
  • /data/lib/libipudp.so
  • /data/lib/libjepg.so
  • /var/.sslvpnconfigbk
  • /data/etc/wxd.conf
  • /flash

Além disso, foram emitidos IOCs relacionadas a ataques. Você verá as seguintes entradas nos logs se um invasor explorar esta vulnerabilidade:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“

 

Quer saber se seu ambiente está vulnerável a esta e outras vulnerabilidades? Conheça nossa solução de analise de vulnerabilidade e Pentest clicando aqui.

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade | Empresa do Grupo Pierre Soluções