Fortinet 了解目前研究得知FortiGate 設備存在一個 SSL-VPN 漏洞可能允許未經身份驗證的遠端攻擊者,透過特製訪問請求進而執行任意代碼或命令。欲瞭解更多資訊,可參閱 Fortinet FortiGuard 網站PSIRT Advisory FG-IR-22-398,防範可能的資安風險。
Fortinet說明,FortiOS SSL-VPN 中使用堆疊的記憶體緩衝區溢位弱點 [CWE-122] 可能允許未經身份驗證的遠端攻擊者透過特製訪問要求進而執行任意代碼或命令。目前已有在野利用此漏洞的實例,並建議立即根據以下危害指標檢查您的系統。
- 若發現多筆如下日誌:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
- FortiOS系統中若發現存在以下檔案:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
- 從 FortiGate 連接到可疑 IP 地址:
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 192.36.119.61:8443,444
- 172.247.168.153:8033
受影響的產品:
- FortiOS 版本7.2.0 到7.2.2
- FortiOS 版本7.0.0 到7.0.8
- FortiOS 版本6.4.0 到6.4.10
- FortiOS 版本6.2.0 到6.2.11
- FortiOS-6K7K 版本7.0.0 到7.0.7
- FortiOS-6K7K 版本6.4.0 到6.4.9
- FortiOS-6K7K 版本6.2.0 到6.2.11
- FortiOS-6K7K 版本6.0.0 到6.0.14
解決辦法:
- 請升級至FortiOS 7.2.3或以上版本
- 請升級至FortiOS 7.0.9或以上版本
- 請升級至FortiOS 6.4.11或以上版本
- 請升級至FortiOS 6.2.12或以上版本
- 請升級至FortiOS-6K7K 7.0.8或以上版本
- 請升級至FortiOS-6K7K 6.4.10或以上版本
- 請升級至FortiOS-6K7K 6.2.12或以上版本
- 請升級至FortiOS-6K7K 6.0.15或以上版本
暫時解決辦法:
直接關閉 SSLVPN 功能。