Kriittinen haavoittuvuus Fortinetin FortiOS-ohjelmistossa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Fortinetin FortiOS-ohjelmistossa

12. joulukuuta 2022 klo 19.33, päivitetty 27. helmikuuta 2023 klo 8.46

Fortinet julkaisi päivityspaketit FortiOS-ohjelmistoon, joka korjaa kriittiseksi luokitellun haavoittuvuuden.

Sivu päivitetty 23.12.

Muistin käsittelyyn liittyvää kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja kohdelaitteella.

Tiedossa on tapaus, jossa haavoittuvuutta on hyväksikäytetty. Hyväksikäytön todentamiseksi suosittelemme välittömästi tarkistamaan tietojärjestelmänne seuraavien hyväksikäyttöön viittaavien asioiden varalta, mikäli käytössä on ohjelmiston haavoittuva versio.

Useita lokimerkintöjä, jotka sisältävät tiedon:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Seuraavien tiedostojen löytyminen tiedostojärjestelmästä:

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

Verkkoyhteydet seuraaviin IP-osoitteisiin FortiGatelta:

188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033

Haavoittuvuuden kohde

FortiOS versiot 7.2.0 - 7.2.2
FortiOS versiot 7.0.0 - 7.0.8
FortiOS versiot 6.4.0 - 6.4.10
FortiOS versiot 6.2.0 - 6.2.11
FortiOS versiot 6.0.0 - 6.0.15
FortiOS versiot 5.6.0 - 5.6.14
FortiOS versiot 5.4.0 - 5.4.13
FortiOS versiot 5.2.0 - 5.2.15
FortiOS versiot 5.0.0 - 5.0.14
FortiOS-6K7K versiot 7.0.0 - 7.0.7
FortiOS-6K7K versiot 6.4.0 - 6.4.9
FortiOS-6K7K versiot 6.2.0 - 6.2.11
FortiOS-6K7K versiot 6.0.0 - 6.0.14
FortiProxy versiot 7.2.0-7.2.1
FortiProxy versiot 7.0.0-7.0.7
FortiProxy versiot 2.0.0-2.0.11
FortiProxy versiot 1.2.0-1.2.13
FortiProxy versiot 1.1.0-1.1.6
FortiProxy versiot 1.0.0-1.0.7

 

Mistä on kysymys?

Päivitä FortiOS versiot 7.2.0 - 7.2.2 versioon 7.2.3 tai uudempaan
Päivitä FortiOS versiot 7.0.0 - 7.0.8 versioon 7.0.9 tai uudempaan
Päivitä FortiOS versiot 6.4.0 - 6.4.10 versioon 6.4.11 tai uudempaan
Päivitä FortiOS versiot 6.2.0 - 6.2.11 versioon 6.2.12 tai uudempaan
Päivitä FortiOS versiot 6.0.0 - 6.0.15 versioon 6.0.16 tai uudempaan
Päivitä tulevaan FortiOS-6K7K-versioon 7.0.8 tai uudempaan
Päivitä FortiOS-6K7K versiot 7.0.0 - 7.0.7 versioon 7.0.8 tai uudempaan
Päivitä FortiOS-6K7K versiot 6.4.0 - 6.4.9 versioon 6.4.10 tai uudempaan
Päivitä FortiOS-6K7K versiot 6.2.0 - 6.2.11 versioon 6.2.12 tai uudempaan
Päivitä FortiOS-6K7K versiot 6.0.0 - 6.0.14 versioon 6.0.15 tai uudempaan
Päivitä FortiProxy versiot 7.2.0-7.2.1 versioon 7.2.2 tai uudempaan
Päivitä FortiProxy versiot 7.0.0-7.0.7 versioon 7.0.8 tai uudempaan
Päivitä tulevaan FortiProxy-versioon 2.0.12 tai uudempaan

Mikäli päivittäminen ei ole mahdollista, voi haavoittuvuuden hyväksikäytön rajoittaa poistamalla käytöstä FortiOS SSL-VPN -komponentin kunnes päivitys voidaan asentaa.
 

Mitä voin tehdä?

Fortinetin haavoittuvuustiedote (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

19. joulukuuta 2022 klo 6.52 Päivitetty tietoja hyökkääjien käyttämistä IP-osoitteista Fortinetin haavoittuvuustiedotteen päivityksen mukaisesti.