Eine kritische Sicherheitslücke in FortiOS von Fortinet wird bereits aktiv angegriffen, warnt der Hersteller. Eine Aktualisierung ist verfügbar. IT-Verantwortliche sollten diese umgehend herunterladen und installieren. Viele Details nennt Fortinet in der Sicherheitsmeldung nicht. Im SSL-VPN von FortiOS kann ein Heap-basierter Pufferüberlauf beim Verarbeiten sorgsam präparierter Anfragen auftreten. In dessen Folge können Angreifer aus dem Netz ohne Anmeldung am System beliebigen Code einschleusen und ausführen (CVE-2022-42475, CVSS 9.3, Risiko „kritisch“). Fortinet erklärt, dass das Unternehmen von mindestens einem Vorfall wisse, bei dem die Lücke in freier Wildbahn missbraucht wurde. Administratoren sollten ihre Geräte auf Angriffsspuren (Indicators of Compromise) untersuchen, die die Autoren der Meldung auch nennen. So liefern Log-Einträge das Indiz, dass die Lücke vermutlich angegriffen wurde: „Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]““. Es könnten sich nach erfolgreichem Angriff folgende Dateien im Dateisystem befinden:

data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Außerdem weisen laut Fortinet IP-Verbindungen zu folgenden Hosts auf einen erfolgreichen Einbruch hin:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Fortinet schließt die Schwachstelle mit den Aktualisierungen auf FortiOS 7.2.3, 7.0.9, 6.4.11 sowie 6.2.12 und höheren Versionen. Zudem gibt es Updates für die FortiOS-6K7K-Versionen auf 7.0.8, 6.4.10, 6.2.12 und 6.0.15 oder neuer. Erst vergangene Woche hatte Fortinet mehrere Sicherheitslücken in den Produkten des Unternehmens geschlossen. Die schwerwiegendste davon betraf den SSH-Log-in und kam auf die Risikoeinschätzung „hoch“.

Quelle: Heise