Informationen zur Schwachstelle und des Angriffs „in a nutshell“

Schwachstelle: Ein „heap-based buffer overflow in SSLVPNd“ wird bei betroffenen FortiOS-Installationen ausgenutzt. Hierbei handelt es sich um einen komplexen Angriff der aller Voraussicht nach von erfahrenen Angreifern/Hackern durchgeführt wird. Dieser Angriff könnte sich vor allem an große Unternehmen und Regierungs- sowie Regierungsnahe Infrastrukturen richten. 

• Der Angriff wurde mehrmals „in the wild“ entdeckt, die Schwachstelle wird also aktiv ausgenutzt.
• Der Angriff ist auf das vom Hersteller Fortinet entwickelte und verwendete Betriebssystem FortiOS zugeschnitten, mit dem Ziel die „Intrusion Prevention“ (IPS) auszuhebeln.

Durch die Manipulation des IPS ist es den Angreifern möglich, unbemerkt Verbindungen zu externen Servern aufzubauen um Schadcode nachladen und ausführen zu können, sowie einen Datenabfluss durchzuführen. Um unerkannt zu bleiben, wird auch das Logging der betroffenen Firewalls manipuliert.

Gibt es eine Möglichkeit zu erkennen, ob man bereits von dem Hack betroffen ist?

Auf dem FortiOS kann nach diesen Dateien geprüft werden:

In dem Ordner „/data/lib“:

• libgif.so
• libips.bak
• libiptcp.so
• libipudp.so
• libjepg.so

sowie

• /var/.sslvpnconfigbk
• /data/etc/wxd.conf
• /flash

Finden sich einzelne Dateien ist dies ein eindeutiger Hinweis darauf, dass diese Fortigate Firewall bereits von dem Hack betroffen ist, da es sich um Dateien handelt, die in FortiOS noch nie verwendet worden sind.

Wie kann ich diese Dateien finden?

• Ausführen des Befehls: # fnsysctl ls -l /data/lib
• Ausführen des Befehls: # fnsysctl ls -la /var
• Ausführen des Befehls: # fnsysctl ls -l /data/etc
• Ausführen des Befehls: # fnsysctl ls -l /

Sehe ich etwas im Log?

Im Logging fallen mehrere der folgenden Einträge auf:

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“

Eine weitere Möglichkeit zu prüfen, ob man betroffen ist

Ausführen des Befehls: # diagnose debug crashlog read

Es tauchen mehrere dieser Einträge auf:

• xxxx: [ Date & Time ] <.....> firmware  [ Firmware version ]
• xxxx: [ Date & Time ] <.....> application sslvpnd
• xxxx: [ Date & Time ] <.....> *** signal 11 (Segmentation fault) received ***

Welche Versionen des FortiOS sind von der Schwachstelle betroffen?

• FortiOS bis inklusive Version 7.2.2, 7.0.8, 6.4.10, 6.2.11, 6.0.15 sowie ältere Versionen

• FortiOS-6K7K bis inklusive Version 7.0.7, 6.4.9, 6.2.11, 6.0.14
• FortiProxy bis inklusive Version 7.2.1, 7.0.7, 2.0.11, 1.2.13, 1.1.6, 1.0.7

Wie schütze ich mich vor Ausnutzung der Schachstelle?

• Upgrade FortiOS auf mindestens Version 7.2.3
• Upgrade FortiOS auf mindestens Version 7.0.9
• Upgrade FortiOS auf mindestens Version 6.4.11
• Upgrade FortiOS auf mindestens Version 6.2.12
• Upgrade FortiOS auf mindestens Version 6.0.16
• Upgrade FortiOS-6K7K auf mindestens 7.0.8
• Upgrade FortiOS-6K7K auf mindestens 6.4.10
• Upgrade FortiOS-6K7K auf mindestens 6.2.12
• Upgrade FortiOS-6K7K auf mindestens 6.0.15
• Upgrade FortiProxy auf mindestens 7.2.2
• Upgrade FortiProxy auf mindestens 7.0.8
• Upgrade FortiProxy auf mindestens 2.0.12

Kann ich einen Angriff erkennen?

Der Hersteller Fortinet hat folgende Möglichkeiten bereitgestellt:

1. Alle Binaries werden von der AV-Engine der Fortigates erkannt
2. Ein „Outbreak Alert Package“ wurde für den FortiAnalyzer erstellt, um Verbindungen zu bekannten Servern zu erkennen und zu melden
3. Eine IPS-Signatur wurde erstellt um proaktiv vor dem Angriff zu schützen

Gibt es einen Workaround?

Ja, wir empfehlen den SSL-VPN zu deaktivieren. 

Was kann ich tun, wenn ich betroffen bin?

Sie können sich an uns wenden oder auch direkt an den Hersteller. Wichtig ist, dass Sie einen erweiterten Check des Setups durchführen. Dieser sollte möglichst vollständig sein, d.h. unter Berücksichtigung aller Außen- und auch Nebenstellen. 

Hilfreiche Links: 

Einen offizielle Link zu dem Hack gibt es vom Hersteller selbst:

https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd

Eine gute Erklärung und Übersicht gibt es auch hier:

https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html