最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Fortinet表示SSL-VPN预授权RCE漏洞在攻击中被利用

网络安全 快米云 来源:快米云 57浏览

飞塔

Fortinet 敦促客户为他们的设备打补丁,以防止被积极利用的 FortiOS SSL-VPN 漏洞,该漏洞可能允许在设备上执行未经身份验证的远程代码。

该安全漏洞被跟踪为 CVE-2022-40684,是 FortiOS sslvpnd 中基于堆的缓冲区溢出漏洞。当被利用时,该缺陷可能允许未经身份验证的用户远程崩溃设备并可能执行代码。

“FortiOS SSL-VPN 中基于堆的缓冲区溢出漏洞 [CWE-122] 可能允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令,”Fortinet 在今天发布的安全公告中警告说。

据 LeMagIT报道,法国网络安全公司 Olympe Cyber​​defense 率先披露了 Fortinet 零日漏洞,警告用户在发布补丁前监控日志中的可疑活动。

Fortinet 在 11 月 28 日发布 FortiOS 7.2.3 时悄悄修复了该错误。但是,该公司没有在发行说明中披露有关该漏洞的信息。

今日,Fortinet发布安全公告 FG-IR-22-398,警告该漏洞已被积极利用进行攻击,所有用户应更新至以下版本修复该漏洞。

FortiOS version 7.2.3 or above
FortiOS version 7.0.9 or above
FortiOS version 6.4.11 or above
FortiOS version 6.2.12 or above
FortiOS-6K7K version 7.0.8 or above
FortiOS-6K7K version 6.4.10 or above
FortiOS-6K7K version 6.2.12 or above
FortiOS-6K7K version 6.0.15 or above

积极利用攻击

虽然 Fortinet 没有提供有关如何利用该漏洞的任何信息,但他们分享了与攻击相关的 IOC。

正如 Olympe Cyber​​defense 和现在的 Fortinet 之前共享的那样,当漏洞被利用时,它将在日志中生成以下条目:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Fortinet 警告说,以下文件系统工件将出现在被利用的设备上:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Fortinet 还共享了一份利用该漏洞的 IP 地址列表,如下所列。

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

在这些 IP 地址中,威胁情报公司 Gray Noise 检测到 103.131.189.143 地址之前曾在 10 月份执行过网络扫描。

如果您无法立即应用补丁,Olympe Cyber​​defense 建议客户监控日志、禁用 VPN-SSL 功能并创建访问规则以限制来自特定 IP 地址的连接。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Fortinet表示SSL-VPN预授权RCE漏洞在攻击中被利用