{"id":275895,"date":"2022-12-13T01:13:35","date_gmt":"2022-12-13T00:13:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275895"},"modified":"2022-12-13T02:32:29","modified_gmt":"2022-12-13T01:32:29","slug":"fortiguard-labs-meldet-kritische-sicherheitslcke-in-fortios-wird-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/13\/fortiguard-labs-meldet-kritische-sicherheitslcke-in-fortios-wird-ausgenutzt\/","title":{"rendered":"FortiGuard Labs meldet: Kritische Sicherheitsl&uuml;cke CVE-2022-42475 in FortiOS wird ausgenutzt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/12\/13\/fortiguard-labs-reports-critical-vulnerability-cve-2022-42475-in-fortios-is-exploited\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die FortiGuard Labs haben am 12. Dezember 2022 eine kritische Sicherheitsl\u00fccke CVE-2022-42475 in FortiOS gemeldet, die wohl eine Remote Code-Ausf\u00fchrung \u00fcber SSL-VPN erm\u00f6glicht. Das Schlimme daran ist, dass diese Schwachstelle bereits in freier Wildbahn ausgenutzt wird. Der Hersteller\u00a0 hat inzwischen Sicherheitsupdate von FortiOS f\u00fcr die betroffenen Versionen ver\u00f6ffentlicht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/ab730623deb24fa39102f6f097ebca49\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin von zwei Blog-Lesern auf dieses Thema hingewiesen worden (danke daf\u00fcr), welches von der FortiGuard Labs im PSIRT Advisory <a href=\"https:\/\/www.fortiguard.com\/psirt\/FG-IR-22-398\" target=\"_blank\" rel=\"noopener\">FG-IR-22-398<\/a> dokumentiert wurde. In FortiOS gibt es eine\u00a0 Heap-basierte Puffer\u00fcberlauf-Schwachstelle CVE-2022-42475 in FortiOS SSL-VPN. \u00dcber diese Schwachstelle k\u00f6nnten nicht authentifizierten Angreifer beliebigen Code oder Befehle \u00fcber speziell gestaltete Anfragen auszuf\u00fchren. Die Schwachstelle CVE-2022-42475\u00a0 hat den CVE-Wert 9.3 erhalten. Betroffen sind folgende Fortinet-Produkte:<\/p>\n<p>FortiOS Version 7.2.0 bis 7.2.2<br \/>\nFortiOS Version 7.0.0 bis 7.0.8<br \/>\nFortiOS-Versionen 6.4.0 bis 6.4.10<br \/>\nFortiOS-Versionen 6.2.0 bis 6.2.11<br \/>\nFortiOS-6K7K Version 7.0.0 bis 7.0.7<br \/>\nFortiOS-6K7K Version 6.4.0 bis 6.4.9<br \/>\nFortiOS-6K7K Version 6.2.0 bis 6.2.11<br \/>\nFortiOS-6K7K Version 6.0.0 bis 6.0.14<\/p>\n<p>Fortinet gibt an, dass bereits ein Fall bekannt ist, in dem diese Schwachstelle in freier Wildbahn ausgenutzt wurde. Der Hersteller empfiehlt, die Systeme sofort auf die folgenden Indikatoren f\u00fcr eine Kompromittierung zu \u00fcberpr\u00fcfen:<\/p>\n<blockquote><p>Mehrere Log-Eintr\u00e4ge mit:<\/p>\n<p>Logdesc=\"Application crashed\" und msg=\"[&#8230;] application:sslvpnd,[&#8230;], Signal 11 received, Backtrace: [&#8230;]\"<\/p>\n<p>Vorhandensein der folgenden Artefakte im Dateisystem:<\/p>\n<p>\/data\/lib\/libips.bak<br \/>\n\/data\/lib\/libgif.so<br \/>\n\/data\/lib\/libiptcp.so<br \/>\n\/data\/lib\/libipudp.so<br \/>\n\/data\/lib\/libjepg.so<br \/>\n\/var\/.sslvpnconfigbk<br \/>\n\/data\/etc\/wxd.conf<br \/>\n\/flash<\/p>\n<p>Verbindungen zu verd\u00e4chtigen IP-Adressen von FortiGate aus:<\/p>\n<p>188.34.130.40:444<br \/>\n103.131.189.143:30080,30081,30443,20443<br \/>\n192.36.119.61:8443,444<br \/>\n172.247.168.153:8033<\/p><\/blockquote>\n<p>Finden sich Hinweise auf Infektionen, ist das System zu s\u00e4ubern (FortiOS clean install). Fortinet empfiehlt die betroffenen Produkte, abh\u00e4ngig von der installierten FotiOS-Version, auf folgende Software-Version zu aktualisieren, um die Schwachstelle zu schlie\u00dfen.<\/p>\n<p>FortiOS Version 7.2.3 oder h\u00f6her<br \/>\nFortiOS Version 7.0.9 oder h\u00f6her<br \/>\nFortiOS Version 6.4.11 oder h\u00f6her<br \/>\nFortiOS Version 6.2.12 oder h\u00f6her<br \/>\nFortiOS-6K7K Version 7.0.8 oder h\u00f6her<br \/>\nFortiOS-6K7K Version 6.4.10 oder h\u00f6her<br \/>\nFortiOS-6K7K Version 6.2.12 oder h\u00f6her<br \/>\nFortiOS-6K7K Version 6.0.15 oder h\u00f6her<\/p>\n<p>Sicherheitsforscher Will Dormann weist in einem Tweet darauf hin, dass die CVE-2022-42475 noch als \"reserviert\" gekennzeichnet ist. Einige der FortiOS-Updates st\u00e4nden bereits seit einem Monat zur Verf\u00fcgung. So soll das am 3. November 2022 freigegebene FortiOS 6.2.12 gem\u00e4\u00df obiger Liste die Schwachstelle CVE-2022-42475 schlie\u00dfen. In den <a href=\"https:\/\/docs.fortinet.com\/document\/fortigate\/6.2.12\/fortios-release-notes\/289806\/resolved-issues\" target=\"_blank\" rel=\"noopener\">Release Notes<\/a> ist aber nichts von einer Schwachstelle erw\u00e4hnt worden.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/gaQCCDP.png\" \/><\/p>\n<p>Gleichzeitig hat Dormann einen Tweet von Joe Roosen eingebunden, nach dem die Schwachstelle bereits von Ransomware-Gruppen ausgenutzt werde. Es scheint, als ob Fortinet recht sp\u00e4t mit der Warnung ist &#8211; es ist also schnellstm\u00f6gliches handeln angesagt.<\/p>\n<p>Wie schrieb mir einer der Leser: Bei ihm seien wohl um die 200 Kunden betroffen, da die alle SSL-VPN einsetzen. Er darf jetzt die Kunden benachrichtigen und nachfragen, ob er mit den kostenpflichtigen Fortinet FortiOS-Updates patchen darf. Noch jemand, den dies tangiert?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die FortiGuard Labs haben am 12. Dezember 2022 eine kritische Sicherheitsl\u00fccke CVE-2022-42475 in FortiOS gemeldet, die wohl eine Remote Code-Ausf\u00fchrung \u00fcber SSL-VPN erm\u00f6glicht. Das Schlimme daran ist, dass diese Schwachstelle bereits in freier Wildbahn ausgenutzt wird. Der Hersteller\u00a0 hat inzwischen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/12\/13\/fortiguard-labs-meldet-kritische-sicherheitslcke-in-fortios-wird-ausgenutzt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-275895","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275895","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275895"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275895\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275895"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275895"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275895"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}