10/3/2023
Bereits im Dezember 2022 wurde diese Schwachstelle benannt - doch nun wird verstärkt beobachtet, dass diese Schwachstelle auch erfolgreich ausgenutzt wird. Deshalb wollen wir nochmals mit Nachdruck darauf hinweisen: Diese Schwachstelle sollte sehr zeitnah geschlossen werden.
Schwachstelle: Ein „heap-based buffer overflow in SSLVPNd“ wird bei betroffenen FortiOS-Installationen ausgenutzt. Hierbei handelt es sich um einen komplexen Angriff der aller Voraussicht nach von erfahrenen Angreifern/Hackern durchgeführt wird. Dieser Angriff könnte sich vor allem an große Unternehmen und Regierungs- sowie Regierungsnahe Infrastrukturen richten.
Durch die Manipulation des IPS ist es den Angreifern möglich, unbemerkt Verbindungen zu externen Servern aufzubauen um Schadcode nachladen und ausführen zu können, sowie einen Datenabfluss durchzuführen. Um unerkannt zu bleiben, wird auch das Logging der betroffenen Firewalls manipuliert.
Auf dem FortiOS kann nach diesen Dateien geprüft werden:
In dem Ordner „/data/lib“:
sowie
Finden sich einzelne Dateien ist dies ein eindeutiger Hinweis darauf, dass diese Fortigate Firewall bereits von dem Hack betroffen ist, da es sich um Dateien handelt, die in FortiOS noch nie verwendet worden sind.
Im Logging fallen mehrere der folgenden Einträge auf:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Ausführen des Befehls: # diagnose debug crashlog read
Es tauchen mehrere dieser Einträge auf:
FortiOS bis inklusive Version 7.2.2, 7.0.8, 6.4.10, 6.2.11, 6.0.15 sowie ältere Versionen
Der Hersteller Fortinet hat folgende Möglichkeiten bereitgestellt:
Ja, wir empfehlen den SSL-VPN zu deaktivieren.
Sie können sich an uns wenden oder auch direkt an den Hersteller. Wichtig ist, dass Sie einen erweiterten Check des Setups durchführen. Dieser sollte möglichst vollständig sein, d.h. unter Berücksichtigung aller Außen- und auch Nebenstellen.
Hilfreiche Links:
Einen offizielle Link zu dem Hack gibt es vom Hersteller selbst:
Eine gute Erklärung und Übersicht gibt es auch hier:
https://thehackernews.com/2023/01/fortios-flaw-exploited-as-zero-day-in.html
Your contact person
Thomas Bennek
Senior System Engineer
More Articles