Alert GCSA-25054 - Sfruttamento critico di vecchie vulnerabilita' Fortinet
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
Alert ID: GCSA-25054
Data: 14 Aprile 2025
Titolo: Sfruttamento critico di vecchie vulnerabilita' Fortinet
******************************************************************
:: Descrizione del problema
Fortinet ha pubblicato nel proprio blog una nuova tecnica di
sfruttamento di vulnerabilita' gia' note, ma che mettono a rischio "critico"
apparati che ne siano affetti
Le vulnerabilita' in questione sono:
FG-IR-22-398: A heap-based buffer overflow vulnerability in SSL-VPN
FG-IR-23-097: A heap-based buffer overflow vulnerability in SSL-VPN
FG-IR-24-015: A out-of-bounds write vulnerability in FortiOS and FortiProxy
Quando un attaccante guadagna un accesso attraverso le vulnerabilita' suddette,
puo' creare un link simbolico fra il filesystem utente e quello di sistema
in una directory utilizzata da SSL-VPN. In questo modo ottiene un accesso
in lettura a tutto il filesystem, anche le configurazioni.
Anche se il sistema fosse stato patchato dopo aver riscontrato la vulnerabilita',
il link simbolico e' rimasto, lasciando il sistema in lettura per l'attaccante.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Tecnologie interessate
FortiOS versioni precedenti alla 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16
Per coloro che utilizzano la funzione SSL-VPN
Fortinet consiglia di considerare i sistemi che utilizzino SSL-VPN come
potenzialmente compromessi e di utilizzare la procedura di recover
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
Nelle ultime versioni il link simbolico viene segnalato come malevolo,
viene rimosso e viene impedita la sua creazione
:: Impatto
Rivelazione di informazioni (ID)
Accesso in lettura alle configurazioni di sistema
:: Soluzioni
Applicare gli aggiornamenti rilasciati dal produttore alle versioni:
FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16
Controllare la configurazione di tutti i dispositivi interessati
Resettare le credenziali potenzialmente esposte
Considerare il sistema come potenzialmente compromesso e seguire
le indicazioni al seguente link:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
:: Riferimenti
Fortinet
https://www.fortiguard.com/psirt
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
CSIRT Italia
https://www.acn.gov.it/portale/w/rilevato-sfruttamento-attivo-di-vulnerabilita-gia-note-in-prodotti-fortinet
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2022-42475
https://www.cve.org/CVERecord?id=CVE-2023-27997
https://www.cve.org/CVERecord?id=CVE-2024-21762
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ/y6KQAKCRDBnEyTZRJg
QiZ2AJ9InEjnI/MkVxyaPyd2ERstwq28twCgulzsH0zH8wNbQoMMqYKVFG9H6Ao=
=BWRG
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
Alert ID: GCSA-25054
Data: 14 Aprile 2025
Titolo: Sfruttamento critico di vecchie vulnerabilita' Fortinet
******************************************************************
:: Descrizione del problema
Fortinet ha pubblicato nel proprio blog una nuova tecnica di
sfruttamento di vulnerabilita' gia' note, ma che mettono a rischio "critico"
apparati che ne siano affetti
Le vulnerabilita' in questione sono:
FG-IR-22-398: A heap-based buffer overflow vulnerability in SSL-VPN
FG-IR-23-097: A heap-based buffer overflow vulnerability in SSL-VPN
FG-IR-24-015: A out-of-bounds write vulnerability in FortiOS and FortiProxy
Quando un attaccante guadagna un accesso attraverso le vulnerabilita' suddette,
puo' creare un link simbolico fra il filesystem utente e quello di sistema
in una directory utilizzata da SSL-VPN. In questo modo ottiene un accesso
in lettura a tutto il filesystem, anche le configurazioni.
Anche se il sistema fosse stato patchato dopo aver riscontrato la vulnerabilita',
il link simbolico e' rimasto, lasciando il sistema in lettura per l'attaccante.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software / Tecnologie interessate
FortiOS versioni precedenti alla 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16
Per coloro che utilizzano la funzione SSL-VPN
Fortinet consiglia di considerare i sistemi che utilizzino SSL-VPN come
potenzialmente compromessi e di utilizzare la procedura di recover
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
Nelle ultime versioni il link simbolico viene segnalato come malevolo,
viene rimosso e viene impedita la sua creazione
:: Impatto
Rivelazione di informazioni (ID)
Accesso in lettura alle configurazioni di sistema
:: Soluzioni
Applicare gli aggiornamenti rilasciati dal produttore alle versioni:
FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16
Controllare la configurazione di tutti i dispositivi interessati
Resettare le credenziali potenzialmente esposte
Considerare il sistema come potenzialmente compromesso e seguire
le indicazioni al seguente link:
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
:: Riferimenti
Fortinet
https://www.fortiguard.com/psirt
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694
CSIRT Italia
https://www.acn.gov.it/portale/w/rilevato-sfruttamento-attivo-di-vulnerabilita-gia-note-in-prodotti-fortinet
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2022-42475
https://www.cve.org/CVERecord?id=CVE-2023-27997
https://www.cve.org/CVERecord?id=CVE-2024-21762
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ/y6KQAKCRDBnEyTZRJg
QiZ2AJ9InEjnI/MkVxyaPyd2ERstwq28twCgulzsH0zH8wNbQoMMqYKVFG9H6Ao=
=BWRG
-----END PGP SIGNATURE-----