NUEVA ACTUALIZACIÓN DE SEGURIDAD EN PRODUCTOS FORTIOS

12/12/2022

BOLETÍN NRO 2022-721

Recientemente se ha estado implementando parches de seguridad en los productos FortiOS para reducir el riesgo de ataques zero day por parte de los ciberdelincuentes.

Servicios Afectados

• FortiOS versión 7.2.0 hasta 7.2.2
• FortiOS versión 7.0.0 hasta 7.0.8
• FortiOS versión 6.4.0 hasta 6.4.10
• FortiOS versión 6.2.0 hasta 6.2.11
• FortiOS-6K7K versión 7.0.0 hasta 7.0.7
• FortiOS-6K7K versión 6.4.0 hasta 6.4.9
• FortiOS-6K7K versión 6.2.0 hasta 6.2.11
• FortiOS-6K7K versión 6.0.0 hasta 6.0.14

Detalles Tecnicos

CVE: CVE-2022-42475,CVE-2022-40684                                    Severidad:   CRÍTICA

Fortinet publicó un aviso sobre una vulnerabilidad de ejecución remota de código activamente explotada que afecta a FortiOS a través del servicio SSL VPN. 

Como se observó en una campaña anterior que afecta a dispositivos Fortinet (CVE-2022-40684), los ciberdelincuentes pueden hacer uso de la ejecución remota de código en dispositivos Fortinet para lograr uno de los siguientes objetivos: 

• Acceder y descargar el archivo de configuración del dispositivo. 

• Acceder a Políticas, filtrados, nombres de usuario, configuraciones de enrutamiento, así como contraseñas cifradas.  

• Creación de cuentas de administrador privilegiadas.

• Carga y ejecución de scripts.

La vulnerabilidad CVE-2022-42475 es un problema de desbordamiento de búfer basado en heap que reside en FortiOS sslvpnd que puede permitir a un atacante remoto no autenticado ejecutar códigos o comandos arbitrarios a través de solicitudes específicamente diseñadas.

Fortinet recomienda a sus clientes comprobar los siguientes indicadores:

Múltiples entradas de registro con:

• Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]".

Presencia de los siguientes artefactos en el sistema de archivos:

• /data/lib/libips[.]bak.

• /data/lib/libgif[.]so.

• /data/lib/libiptcp[.]so.

• /data/lib/libipudp[.]so.

• /data/lib/libjepg[.]so.

• /var/[.]sslvpnconfigbk.

• /data/etc/wxd[.]conf.

• /flash.

Indicadores de Compromiso

IP

87[.]120[.]37[.]68

87[.]120[.]254[.]100

176[.]223[.]165[.]196

188[.]34[.]130[.]40

103[.]131[.]189[.]143

192[.]36[.]119[.]61

172[.]247[.]168[.]153

Hash

MD5: 517c4fe8b4624503a1aa7988646a74ce

SHA-256: a31288eb0a8da9c13a8b795851e29c61ba539c45b396fa8093bf38140c866bb9

MD5: b5450c8553def4996426ab46996b2e55

SHA-256: 6ae32cd3b5a8a1dbb5464372ded370f31802fd1f5031795b43d662c64fc5b301

MD5: b5450c8553def4996426ab46996b2e55

SHA-256: 6ae32cd3b5a8a1dbb5464372ded370f31802fd1f5031795b43d662c64fc5b301

MD5: b5190d7cc4d7a59ad4962b8614db8521

SHA-256: 95b2d037d67d77d313a7c97912674e365dcd98ceb6f8942ef3d450abf20bf472

MD5: ad2195e2977bfb824c8afdab38e531b2

SHA-256: 0ed4af13715d5185375b9bd8795ae832786f8cdd1190e131e6bbc260a3a38ac4

MD5: 96ebcfb2cc9e6c5d0ad2cec2522f1274

SHA-256: 35145e1641b0e8bba2981573f9c8701f5f12caa50621bfc482dadd3982975244

MD5: 84aa12fe7c7ab241a2e0ca2db5db2865

SHA-256: 0e68a870a3c388c62b7104fe1a17a0c8fb0ec8d0d2422ebf429a81904940508c

MD5: 5f1a9913aec43a61f0b3ad7b529b397e

SHA-256: e514ea5a4be6e94031bd4121df05687e3fd23eb8ecdd7a6ec05c52711250fa7f

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Actualizar a las versiones recomendados por el proveedor para mitigar la vulnerabilidad.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Fortinet urges customers to fix actively exploited FortiOS SSL-VPN bug
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​