A partir de la quincena de Diciembre hasta la fecha continúan reportándose incidentes de seguridad sobre una vulnerabilidad crítica de día cero (0-day) CVE-2022-42475 que afecta a productos de Fortinet, que permitiría a un atacante provocar desbordamiento de búfer y así realizar ejecución remota de código (RCE), dejando ciertos rastros en los registros de eventos que permiten levantar sospechas sobre su explotación.
Adicionalmente, hemos agregado las señales de post explotación de la vulnerabilidad y los indicadores de compromiso (IoC) encontrados.
Algunos productos afectados son:
- FortiOS:
- Versión 7.2.0 a 7.2.2.
- Versión 7.0.0 a 7.0.8.
- Versión 6.4.0 a 6.4.10.
- FortiOS-6K7K:
- Versión 7.0.0 a 7.0.7.
- Versión 6.4.0 a 6.4.9.
- Versión 6.2.0 a 6.2.11.
- Versión 6.0.0 a 6.0.14.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/12/BOL-CERT-PY-2022-51-Explotacion-activa-de-vulnerabilidad-RCE-en-SSL-VPN-Fortinet-Actualizacion.pdf
- https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/fortinet-says-ssl-vpn-pre-auth-rce-bug-is-exploited-in-attacks/amp/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42475
- https://www.fortiguard.com/psirt/FG-IR-22-398
- https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420