CVEs 2022-42475 et 2022-27518 : Vulnérabilités de gravité critique exploitées activement
Le 12 décembre 2022, Fortinet a révélé une vulnérabilité critique de débordement de mémoire tampon basée sur le tas dans le démon SSL VPN sur les dispositifs Fortinet. Le lendemain, Citrix a annoncé une vulnérabilité critique, également exploitée dans la nature, dans les versions actuellement prises en charge de Citrix ADX et Citrix Gateway. Comme ces vulnérabilités ont déjà été ciblées par des pirates informatiques et qu'elles affectent un large éventail d'utilisateurs, elles requièrent une attention immédiate.
Lisez ci-dessous pour en savoir plus sur ce que nous savons aujourd'hui sur chacune d'entre elles, sur la manière de détecter si votre organisation a été affectée et sur les mesures que vous pouvez prendre immédiatement pour aider à défendre vos systèmes. Pour la vulnérabilité Fortinet : Si vous êtes un client de Conversant, veuillez nous contacter à tout moment pour une inspection du pare-feu FortiGate, une analyse d'impact et une assistance à la remédiation au (423) 305-7890. Pour la vulnérabilité Citrix : nos clients de services entièrement gérés affectés par CVE-2022-27518 n'ont rien à faire ; nous vous contacterons directement pour planifier la remédiation.
Si vous n'êtes pas client de Conversant, contactez-nous pour en savoir plus sur nos services et sur la manière dont nous pouvons vous aider à l'adresse inquire@conversantgroup.com.
Vulnérabilité de Fortinet Ce que nous savons aujourd'hui :
La nouvelle vulnérabilité, CVE-2022-42475, est une vulnérabilité de débordement de mémoire tampon basée sur le tas (CWE-122) dans FortiOS SSL-VPN, qui peut permettre à un attaquant distant non authentifié d'exécuter du code à distance sur SSL VPN via des requêtes spécifiquement conçues. Les acteurs de la menace pourraient exploiter cette vulnérabilité pour déployer des fichiers malveillants sur le système de fichiers des appareils concernés.
Comme nous l'avons vu dans d'autres campagnes affectant les appliances Fortinet (CVE-2022-40684), les acteurs de la menace peuvent utiliser l'exécution de code à distance dans les appliances Fortinet pour :
- Accéder au fichier de configuration de l'appareil et le télécharger (y compris les règles en clair, les politiques, le filtrage, les noms d'utilisateur, les configurations de routage, ainsi que les mots de passe cryptés).
- Créer des comptes d'administrateurs privilégiés
- Télécharger et exécuter des scripts
Qu'est-ce qui est concerné ?
Les produits Fortinet suivants sont concernés :
FortiOS Version 7.2.0 à 7.2.2
FortiOS version 7.0.0 à 7.0.8
FortiOS versions 6.4.0 à 6.4.10
FortiOS versions 6.2.0 à 6.2.11
FortiOS-6K7K version 7.0.0 à 7.0.7
FortiOS-6K7K version 6.4.0 à 6.4.9
FortiOS-6K7K version 6.2.0 à 6.2.11
FortiOS-6K7K version 6.0.0 à 6.0.14
Ce que vous pouvez faire
Recherchez les indicateurs de compromis ci-dessous :
Plusieurs entrées de journal avec :
Logdesc="Application crashée" und msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace : [...]"
Présence des artefacts suivants dans le système de fichiers :
/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash
Connexions vers des adresses IP suspectes depuis le FortiGate :
188.34.130.40:444
103.131.189.143:30080,30081,30443,20443
192.36.119.61:8443,444
172.247.168.153:8033
Passez à l'action :
Si vous trouvez des preuves d'infection, vous devez nettoyer le système en utilisant FortiOS clean install. Fortinet recommande de mettre à jour les produits concernés ci-dessous avec les mises à jour correspondantes.
Vulnérabilité de Citrix Ce que nous savons aujourd'hui :
La nouvelle vulnérabilité de Citrix, CVE-2022-27518, si elle est exploitée, pourrait permettre à un attaquant distant non authentifié d'exécuter un code arbitraire sur l'appliance.
Les versions suivantes de Citrix ADC et Citrix Gateway sont concernées par cette vulnérabilité :
- Citrix ADC et Citrix Gateway 13.0 avant 13.0-58.32
- Citrix ADC et Citrix Gateway 12.1 avant 12.1-65.25
- Citrix ADC 12.1-FIPS avant 12.1-55.291
- Citrix ADC 12.1-NDcPP avant 12.1-55.291
La version 13.1 de Citrix ADC et Citrix Gateway n'est pas affectée. Cette alerte s'applique uniquement aux appliances Citrix ADC et Citrix Gateway gérées par les clients. Les clients qui utilisent les services cloud gérés par Citrix ou l'authentification adaptative gérée par Citrix n'ont pas besoin de prendre des mesures.
Les clients peuvent déterminer si leur Citrix ADC ou Citrix Gateway est configuré en tant que SAML SP ou SAML IdP en inspectant le fichier ns.conf pour les commandes suivantes :
add authentication samlAction
- L'appliance est configurée en tant que SAML SP
OU
add authentication samlIdPProfile
- L'appliance est configurée en tant qu'IdP SAML
Si l'une de ces commandes est présente dans le fichier ns.conf et si la version est une version affectée, l'appliance doit être mise à jour.
Ce que vous devez faire
- Nous (et Citrix) recommandons vivement aux clients concernés de Citrix ADC et Citrix Gateway d'installer les versions mises à jour de Citrix ADC ou Citrix Gateway dès que possible :
- Citrix ADC et Citrix Gateway 13.0-58.32 et versions ultérieures
- Citrix ADC et Citrix Gateway 12.1-65.25 et versions ultérieures de 12.1
- Citrix ADC 12.1-FIPS 12.1-55.291 et versions ultérieures de 12.1-FIPS
- Citrix ADC 12.1-NDcPP 12.1-55.291 et versions ultérieures de 12.1-NDcPP
Veuillez noter que les versions de Citrix ADC et Citrix Gateway antérieures à la version 12.1 sont en fin de vie et qu'il est recommandé aux clients utilisant ces versions d'effectuer une mise à niveau vers l'une des versions prises en charge.
Pour toute assistance concernant la détection de ces vulnérabilités, les correctifs, la remédiation ou les services de sécurité gérés pour se défendre contre les menaces futures, contactez Conversant Group pour une assistance de sécurité de bout en bout.
Vous avez un problème ? Besoin d'aide ? Contactez l'équipe de support technique de Conversant Group
dès aujourd'hui :
support@conversantgroup.com
1-423-305-7890 (pendant les heures de bureau)
1-423-305-7890 / option 2 (après les heures de bureau/le week-end)