Уязвимость SSL-VPN-портала операционной системы FortiOS связана с переполнением буфера на основе кучи. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение SSL-VPN;
- использование средств межсетевого экранирования для формирования «белого» списка адресов, которым разрешён удаленный доступ;
- использование систем обнаружения вторжений для отслеживания известных индикаторов компрометации:
Записей в журналах логирования:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...].
Артефактов в файловой системе:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Подключений к скомпрометированным IP-адресам:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Использование рекомендаций:
https://www.fortiguard.com/psirt/FG-IR-22-398
https://olympecyberdefense.fr/vpn-ssl-fortigate
| Балл | 10 — критическая опасность |