Af Eskil Sørensen, 13/12/22
Fortinet udsendte mandag en nødpatch for at rette en alvorlig sårbarhed i FortiOS SSL-VPN-produktet. Med nødpatchet følger en advarsel om, at angribere allerede udnyttet fejlen in-the-wild. Det skriver Security Week og en række andre medier.
Fejlen har id’et CVE-2022-4247 og en CVSS-score på 9,3 og beskrives som en en heap-baseret bufferoverløbssårbarhed. Det er et bufferoverflow, hvor bufferen kan overskrives og som allokeres i heap-delen af hukommelsen. Det betyder, at bufferen bliver allokeret ved hjælp af en rutine såsom malloc().
På Common Weakness Enumeration-listen har sårbarheden nummer CWE-122.
Følgende systemer er berørt af sårbarheden
- FortiOS version 7.2.0 til 7.2.2
- FortiOS version 7.0.0 til 7.0.8
- FortiOS version 6.4.0 til 6.4.10
- FortiOS version 6.2.0 til 6.2.11
- FortiOS-6K7K version 7.0.0 til 7.0.7
- FortiOS-6K7K version 6.4.0 til 6.4.9
- FortiOS-6K7K version 6.2.0 til 6.2.11
- FortiOS-6K7K version 6.0.0 til 6.0.14
SSL-VPN er en løsning, der gør det muligt for individuelle brugere at få adgang til en organisations netværk, klient-server-applikationer og interne netværksværktøjer og mapper uden at der er behov for specialiseret software. SSL-VPN tilvejebringer en sikker kommunikation via en krypteret forbindelse til enheder, uanset om adgangen til netværket er via det offentlige internet eller et andet sikkert netværk.
Fortinet understreger, at implementering af patchet haster, at sårbarheden allerede er blevet udnyttet i naturen.
Links:
https://www.securityweek.com/fortinet-ships-emergency-patch-already-exploited-vpn-flaw
https://www.fortiguard.com/psirt/FG-IR-22-398
https://www.cisa.gov/uscert/ncas/current-activity/2022/12/12/fortinet-releases-security-updates-fortios
https://securityaffairs.co/wordpress/139569/hacking/fortinet-fortios-ssl-vpn-bug.html