[English]Die FortiGuard Labs haben am 12. Dezember 2022 eine kritische Sicherheitslücke CVE-2022-42475 in FortiOS gemeldet, die wohl eine Remote Code-Ausführung über SSL-VPN ermöglicht. Das Schlimme daran ist, dass diese Schwachstelle bereits in freier Wildbahn ausgenutzt wird. Der Hersteller hat inzwischen Sicherheitsupdate von FortiOS für die betroffenen Versionen veröffentlicht.
Anzeige
Ich bin von zwei Blog-Lesern auf dieses Thema hingewiesen worden (danke dafür), welches von der FortiGuard Labs im PSIRT Advisory FG-IR-22-398 dokumentiert wurde. In FortiOS gibt es eine Heap-basierte Pufferüberlauf-Schwachstelle CVE-2022-42475 in FortiOS SSL-VPN. Über diese Schwachstelle könnten nicht authentifizierten Angreifer beliebigen Code oder Befehle über speziell gestaltete Anfragen auszuführen. Die Schwachstelle CVE-2022-42475 hat den CVE-Wert 9.3 erhalten. Betroffen sind folgende Fortinet-Produkte:
FortiOS Version 7.2.0 bis 7.2.2
FortiOS Version 7.0.0 bis 7.0.8
FortiOS-Versionen 6.4.0 bis 6.4.10
FortiOS-Versionen 6.2.0 bis 6.2.11
FortiOS-6K7K Version 7.0.0 bis 7.0.7
FortiOS-6K7K Version 6.4.0 bis 6.4.9
FortiOS-6K7K Version 6.2.0 bis 6.2.11
FortiOS-6K7K Version 6.0.0 bis 6.0.14
Fortinet gibt an, dass bereits ein Fall bekannt ist, in dem diese Schwachstelle in freier Wildbahn ausgenutzt wurde. Der Hersteller empfiehlt, die Systeme sofort auf die folgenden Indikatoren für eine Kompromittierung zu überprüfen:
Mehrere Log-Einträge mit:
Logdesc="Application crashed" und msg="[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]"
Vorhandensein der folgenden Artefakte im Dateisystem:
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flashVerbindungen zu verdächtigen IP-Adressen von FortiGate aus:
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Finden sich Hinweise auf Infektionen, ist das System zu säubern (FortiOS clean install). Fortinet empfiehlt die betroffenen Produkte, abhängig von der installierten FotiOS-Version, auf folgende Software-Version zu aktualisieren, um die Schwachstelle zu schließen.
Anzeige
FortiOS Version 7.2.3 oder höher
FortiOS Version 7.0.9 oder höher
FortiOS Version 6.4.11 oder höher
FortiOS Version 6.2.12 oder höher
FortiOS-6K7K Version 7.0.8 oder höher
FortiOS-6K7K Version 6.4.10 oder höher
FortiOS-6K7K Version 6.2.12 oder höher
FortiOS-6K7K Version 6.0.15 oder höher
Sicherheitsforscher Will Dormann weist in einem Tweet darauf hin, dass die CVE-2022-42475 noch als "reserviert" gekennzeichnet ist. Einige der FortiOS-Updates ständen bereits seit einem Monat zur Verfügung. So soll das am 3. November 2022 freigegebene FortiOS 6.2.12 gemäß obiger Liste die Schwachstelle CVE-2022-42475 schließen. In den Release Notes ist aber nichts von einer Schwachstelle erwähnt worden.
Gleichzeitig hat Dormann einen Tweet von Joe Roosen eingebunden, nach dem die Schwachstelle bereits von Ransomware-Gruppen ausgenutzt werde. Es scheint, als ob Fortinet recht spät mit der Warnung ist – es ist also schnellstmögliches handeln angesagt.
Wie schrieb mir einer der Leser: Bei ihm seien wohl um die 200 Kunden betroffen, da die alle SSL-VPN einsetzen. Er darf jetzt die Kunden benachrichtigen und nachfragen, ob er mit den kostenpflichtigen Fortinet FortiOS-Updates patchen darf. Noch jemand, den dies tangiert?
Anzeige
Haben eine 100E im Einsatz. Bei den monatlichen Update-Checks war nichts zu sehen oder zu lesen von dieser Schwachstelle. Sind jetzt dabei, unsere FWs zu updaten ✌️
bei unseren beiden 100E wurde das Update 7.23 seit ca. 2 Wochen angezeigt
Die schweren Lücken häufen sich aber enorm in letzter Zeit bei Forti. Ist ja schon fast auf Cisco Niveau.
Aber die Reaktionszeit für Firmware-Upgrades ist noch okay, auch die Behelfsanleitungen, wenn bspw., die Datensammelwut der FortiGate dazu führt, dass sie nicht einmal mehr ihr FW-Update herunterladen kann
Viel schlimmer ist die Hardware-Lieferbarkeit (und das nicht erst seit Ukraine-/Taiwan-Konflikt) vor allem bei Switches und Access Points sieht es aktuell echt mau aus, bei einem Kunden, für den Ende Juni acht Indoor-APs bestellt wurden, warten wir immer noch drauf; Outdoor-APs in vergleichbarer Leistungsausstattung sind alternativ lieferbar, aber auch gleich drei mal so teuer, also keine Option, die der Kunde wünscht.
Reaktionszeit bei so kritischen Lücken muss schnell sein.
Ich sehe eher das da wohl ziemliche Probleme mit Qualitätsmanagement sein müssen, dass sich solche Lücken überhaupt bei einer Firewall einschleichen können. Auch die letzten Lücken waren schon sehr fragwürdig.
Die sollten besser mal ein komplette Codereview durchführen und die Programmierer schulen.
Da kann einiges in der Kommunikation nicht stimmen
6.0.15 wurde vor 3 Monaten veröffentlicht
Vor einer Woche ging auch eine vertrauliche BSI Warnung rum dass man Updaten soll, in der ersten Version war 6.0.x gar nicht erwähnt und auf Nachfrage gab es die Aussage ist betroffen und jetzt soll der Fix in der ältesten FortiOS Version die darüber hinaus auch nicht mehr supported mit 6.0.15 bereits gefixt sein? I smell bs.
Das ist das FortiOS-6K7K nicht das normale FortiOS.
Beim Normalen FortiOS 6.0.15 gehe ich davon aus, dass dies auch vulnerabel ist. Da aber kein Support mehr vorhanden ist, wird dies auch nicht explizit erwähnt.
Mittlerweile wurde die betroffenen Versionen auch aktualisiert:
Affected Products
FortiOS version 7.2.0 through 7.2.2
FortiOS version 7.0.0 through 7.0.8
FortiOS version 6.4.0 through 6.4.10
FortiOS version 6.2.0 through 6.2.11
FortiOS version 6.0.0 through 6.0.15
FortiOS version 5.6.0 through 5.6.14
FortiOS version 5.4.0 through 5.4.13
FortiOS version 5.2.0 through 5.2.15
FortiOS version 5.0.0 through 5.0.14
FortiOS-6K7K version 7.0.0 through 7.0.7
FortiOS-6K7K version 6.4.0 through 6.4.9
FortiOS-6K7K version 6.2.0 through 6.2.11
FortiOS-6K7K version 6.0.0 through 6.0.14
:)
"Wie schrieb mir einer der Leser: Bei ihm seien wohl um die 200 Kunden betroffen, da die alle SSL-VPN einsetzen. Er darf jetzt die Kunden benachrichtigen und nachfragen, ob er mit den kostenpflichtigen Fortinet FortiOS-Updates patchen darf"
Warum kostenpflichtig? Das Update ist Teil des kleinsten Lizenzpakets. Zusatzkosten löst da nur die Dienstleistung aus.
Müssten die Admins von Fortigate-Produkten beantworten können – ich gebe den Hinweis aus der Mail weiter. Möglicherweise hast Du mit dem Verweis auf die Zusatzkosten der Dienstleistung Recht.
Stimmt schon so, die sind im kleinsten Paket dabei das man mit der Fg kauft. Wer nichtmal das hat braucht eigentlich überhaupt keine (ng) Firewall und könnte direkt eine Fritzbox nehmen. Da sind auch die Updates umsonst (scnr).
Abseits davon wirkt das gerade alles ein wenig…seltsam. Da sind neue Firmwares samt dem Fix (grösstenteils?) schon eine Weile raus und dann wird mit dem Finger auf den Hersteller gezeigt weil manche das Einspielen verschleifen? Dass Hinweise in den Patchnotes fehlen oder nicht direkt bei Erscheinen ein dringender Hinweis mitgegeben wurde – diskutabel. Aber letztlich habe ich als Verantwortlicher die Dinger aktuell zu halten.
Und da liegt die Crux, denn die Qualität der Updates der großen NG FW Anbieter, für Nischen kann ich nicht sprechen, aber die ist sehr mau. Und bei einem so komplexen, aber zentral empfindlichen System überlegt man sich mehrmals ob man wirklich ein reines Bugfix Release einspielt, für ein System, dass auf einem Stand ist, dass für einen funktioniert. Wenn also der Hinweis auf Security Patches fehlt ist es sehr wahrscheinlich, dass man das Release nicht einspielt es sei denn man ist von spezifischen Bugs betroffen, die business critical sind.
TL;DR es ist ganz normal bei FW, dass man nicht jedes Bugfix Release einspielt, weil man sonst riskiert auf einem Stand zu landen der nicht so stabil ist wie der vorherige.
Hat wer von euch einen cli befehl zur Hand, wie man sich directories auflisten lassen kann, um zu prüfen, ob die o.a. Dateiartefakte zu finden sind?
fnsysctl ls -la /data/lib/libips.bak
fnsysctl ls -la /data/lib/libgif.so
fnsysctl ls -la /data/lib/libiptcp.so
fnsysctl ls -la /data/lib/libipudp.so
fnsysctl ls -la /data/lib/libjepg.so
fnsysctl ls -la /var/.sslvpnconfigbk
fnsysctl ls -la /data/etc/wxd.conf
fnsysctl ls -la /flash
Kannst Du so in die CLI klatschen.
Überall wo "No such file or directory" steht ist alles grün.
Alles "grün" bei mir :-)
Vielen Dank Thorsten für "fnsysctl"
Danke!! Du bist der beste
Besten Dank! :)
Bekomme bei einem Kunden "Unknown Action" eine Idee woher das stammen könnte? Konnte den Befehl sonst überall auf egal welcher FortiOS Version ausführen :)
Danke für die Befehle!