Il personale della Fortinet ha recentemente rilasciato un aggiornamento atto a risolvere una pericolosa vulnerabilità presente all’interno dei suoi prodotti, nello specifico all’interno del servizio di VPN.

Una pericolosa vulnerabilità presente all’interno dei sistemi Fortinet, classificata come CVE-2022-42475 (CVSS score 9.3), permette l’esecuzione di codice arbitrario all’interno del sistema vulnerabile attraverso l’accesso non autenticato al servizio di VPN offerto degli apparati.

Per ammissione della stessa Fortinet, tale vulnerabilità viene attualmente sfruttata da malintenzionati per la compromissione dei sistemi vulnerabili, attraverso richieste appositamente create verso il servizio di VPN offerto dagli apparati. Non è richiesto nessun tipo di autenticazione per sfruttare tale vulnerabilità, fattore che rende la problematica particolarmente critica.

I prodotti coinvolti sono i seguenti:

• FortiOS versione 2.0 fino alla versione 7.2.2
• FortiOS versione 0.0 fino alla versione 7.0.8
• FortiOS versione 4.0 fino alla versione 6.4.10
• FortiOS versione 2.0 fino alla versione 6.2.11
• FortiOS-6K7K versione 0.0 fino alla versione 7.0.7
• FortiOS-6K7K versione 4.0 fino alla versione 6.4.9
• FortiOS-6K7K versione 2.0 fino alla versione 6.2.11
• FortiOS-6K7K versione 0.0 fino alla versione 6.0.14

Gli aggiornamenti sono disponibili nelle versioni di FortiOS 7.2.3, 7.0.9, 6.4.11, 6.2.12 ed all’interno di FortiOS-6K7K 7.0.8, 6.4.10, 6.2.12, 6.0.15.

É possibile indagare su eventuali attacchi ricevuti prima dell’aggiornamento del sistema analizzando i log prodotti dal dispositivo alla ricerca di voci ripetute simili alla seguente:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]

Inoltre la presenza dei seguenti file all’interno del sistema indicano l’avvenuta compromissione:

• /data/lib/libips.bak
• /data/lib/libgif.so
• /data/lib/libiptcp.so
• /data/lib/libipudp.so
• /data/lib/libjepg.so
• /var/.sslvpnconfigbk
• /data/etc/wxd.conf
• /flash

Altro fattore che può indicare una possibile compromissione dell’apparato è rappresentato dalla presenza dei seguenti indirizzi IP all’interno dei log di sistema:

• 34.130.40:444
• 131.189.143:30080,30081,30443,20443
• 247.168.153:8033

Il nostro consiglio è quello ovviamente di verificare la versione utilizzata di FortiOS o FortiOS-6K7K ed applicare tempestivamente gli aggiornamenti di sistema qualora disponibili. Inoltre, in presenza di versioni vulnerabili, è opportuno verificare i log di sistema alla ricerca di possibili tracce di compromissione. Nel caso in cui si sospetti un’avvenuta compromissione del sistema, è opportuno contattare direttamente il fornitore dell’apparato per ulteriori indagini in merito.