CVE-2022-42475 er en nyligt rapporteret zero-day og en meget alvorlig sårbarhed i FortiOS, der kunne udløse fjernkørsel af programkode. Sårbarheden er blevet udnyttet i naturen, og berørte organisationer bør anvende plasteret med det samme.
CVE-2022-42475: Hvad der er kendt So Far?
Sårbarheden er blevet beskrevet som et heap-baseret bufferoverløb i FortiOS SSL-VPN, der kan tillade en ekstern, uautoriseret angriber at udføre vilkårlig kode eller kommandoer via specifikt udformede anmodninger, ifølge FortiGuard Labs (Fortinet) rådgivende.
Siden virksomheden har været opmærksom på et tilfælde, hvor sårbarheden blev udnyttet, det råder virksomheder til at validere deres systemer mod en liste over specifikke indikatorer for kompromis.
Hvilke produkter påvirker CVE-2022-42475?
Listen over berørte produkter omfatter følgende enheder og versioner:
FortiOS version 7.2.0 igennem 7.2.2
FortiOS version 7.0.0 igennem 7.0.8
FortiOS version 6.4.0 igennem 6.4.10
FortiOS version 6.2.0 igennem 6.2.11
FortiOS-6K7K version 7.0.0 igennem 7.0.7
FortiOS-6K7K version 6.4.0 igennem 6.4.9
FortiOS-6K7K version 6.2.0 igennem 6.2.11
FortiOS-6K7K version 6.0.0 igennem 6.0.14
Fortinet SSL-VPN-enheder har været målrettet i årevis
Som påpeget af Tenable-forskere, trusselsaktører har udnyttet sårbarheder i Fortinet SSL-VPN-enheder i flere år. Som et resultat, i 2021, Federal Bureau of Investigation and Cybersecurity and Infrastructure Security Agency udsendte en specialiseret rådgivning.
Den rådgivende påpegede den fremskredne vedvarende trussel (APT) aktører har brugt de nævnte fejl til at få adgang til netværk på tværs af flere kritiske infrastruktursektorer. Formålet med angrebene var at udføre dataeksfiltrering og datakryptering. Hvad angår indgangspunktet, eksperterne sagde, at spear phishing-e-mails sandsynligvis blev brugt til at få indledende adgang.
I september 2021, en trusselsaktør afslørede SSL-VPN-adgangsoplysninger til 87,000 FortiGate SSL-VPN-enheder. De nævnte legitimationsoplysninger blev taget fra systemer, der forblev upatchede mod en specifik sårbarhed - CVE-2018-13379 - som blev afsløret i maj 2019. Dengang, virksomheden udsendte en rådgivning og kommunikerede direkte med deres kunder, og havde opfordret dem til at opgradere de berørte enheder. Men, som det viste sig, mange enheder blev efterladt upatched og derfor, sårbare over for angreb og bedrifter. Det er grunden til, at det at følge anbefalingerne om øjeblikkelig lapning bør følges nøje.