FortiOS - sslvpnd의 힙 기반 버퍼 오버플로우 취약점

요약

FortiOS SSL-VPN의 힙 기반 버퍼 오버플로 취약점[CWE-122/CVE-2022-42475]으로 인해 인증되지 않은 원격 공격자가 특별히 제작된 요청을 통해 임의의 코드나 명령을 실행할 수 있습니다.

Severity: Critical
CVSSv3 Score: 9.3

Exploitation status:

Fortinet에서는 이 취약점이 실제로 악용된 사례가 확인되고 있으며 다음과 같은 손상 지표에 대해 시스템을 즉시 검증할 것을 권장합니다.

Multiple log entries with:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Presence of the following artifacts in the filesystem:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

FortiGate suspicious IP addresses:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

해결 방법:

SSL-VPN을 비활성화합니다.

영향을 받는 제품

FortiOS version 7.2.0 ~ 7.2.2
FortiOS version 7.0.0 ~ 7.0.8
FortiOS version 6.4.0 ~ 6.4.10
FortiOS version 6.2.0 ~ 6.2.11
FortiOS version 6.0.0 ~ 6.0.15
FortiOS version 5.6.0 ~ 5.6.14
FortiOS version 5.4.0 ~ 5.4.13

FortiOS version 5.2.0 ~ 5.2.15
FortiOS version 5.0.0 ~ 5.0.14
FortiOS-6K7K version 7.0.0 ~ 7.0.7
FortiOS-6K7K version 6.4.0 ~ 6.4.9
FortiOS-6K7K version 6.2.0~6.2.11
FortiOS-6K7K version 6.0.0~6.0.14

해결방안

FortiOS 버전 7.2.3 이상으로 업그레이드
FortiOS 버전 7.0.9 이상으로 업그레이드
FortiOS 버전 6.4.11 이상으로 업그레이드
FortiOS 버전 6.2.12 이상으로 업그레이드
FortiOS-6K7K 버전 7.0.8 이상으로 업그레이드(출시 예정)
FortiOS-6K7K 버전 6.4.10 이상으로 업그레이드
FortiOS-6K7K 버전 6.2.12 이상으로 업그레이드(출시 예정)
FortiOS-6K7K 버전 6.0.15 이상으로 업그레이드

참고사이트:

https://www.fortiguard.com/psirt/FG-IR-22-398

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42475