CVE-2022-42475 es un nuevo informe Día cero y una vulnerabilidad muy grave en FortiOS que podría desencadenar ejecución remota de código. La vulnerabilidad ha sido explotada en la naturaleza., y las organizaciones afectadas deben aplicar el parche inmediatamente.
CVE-2022-42475: Lo que se sabe hasta ahora?
La vulnerabilidad se ha descrito como un desbordamiento de búfer basado en montón en FortiOS SSL-VPN que puede permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente., según FortiGuard Labs (Fortinet) consultivo.
Dado que la empresa ha tenido conocimiento de una instancia en la que se explotó la vulnerabilidad, aconseja a las empresas que validen sus sistemas contra una lista de indicadores específicos de compromiso.
Qué productos afecta CVE-2022-42475?
La lista de productos afectados incluye los siguientes dispositivos y versiones:
Versión de FortiOS 7.2.0 mediante 7.2.2
Versión de FortiOS 7.0.0 mediante 7.0.8
Versión de FortiOS 6.4.0 mediante 6.4.10
Versión de FortiOS 6.2.0 mediante 6.2.11
Versión FortiOS-6K7K 7.0.0 mediante 7.0.7
Versión FortiOS-6K7K 6.4.0 mediante 6.4.9
Versión FortiOS-6K7K 6.2.0 mediante 6.2.11
Versión FortiOS-6K7K 6.0.0 mediante 6.0.14
Los dispositivos Fortinet SSL-VPN han sido objetivo durante años
Como señalaron los investigadores de Tenable, Los actores de amenazas han estado explotando las vulnerabilidades en los dispositivos SSL-VPN de Fortinet durante varios años.. Como resultado, en 2021, la Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad emitieron un aviso especializado.
el asesoramiento señalado esa amenaza persistente avanzada (APTO) los actores han estado utilizando dichas fallas para obtener acceso a redes en múltiples sectores de infraestructura crítica. El propósito de los ataques era realizar la exfiltración y el cifrado de datos.. En cuanto al punto de entrada, los expertos dijeron que los correos electrónicos de phishing selectivo probablemente se usaron para obtener acceso inicial.
En septiembre 2021, un actor de amenazas reveló información de acceso SSL-VPN a 87,000 Dispositivos FortiGate SSL-VPN. Dichas credenciales se tomaron de sistemas que permanecieron sin parchear contra una vulnerabilidad específica, CVE-2018-13379, que se reveló en mayo. 2019. En aquel momento, la empresa emitió un aviso y se comunicó directamente con sus clientes, y los había estado alentando a actualizar los dispositivos afectados. Sin embargo, como se vio despues, muchos dispositivos se dejaron sin parches y, por lo tanto,, vulnerable a ataques y exploits. Es por ello que se deben seguir estrictamente las recomendaciones de parcheo inmediato..