利用 Fortinet 的 SSLVPN 守护进程中的堆溢出的 POC 代码CVE-2022-42475
2023-3-18 13:33:13 Author: Ots安全(查看原文) 阅读量:49 收藏

描述

FortiOS SSL-VPN 7.2.0 至 7.2.2、7.0.0 至 7.0.8、6.4.0 至 6.4.10、6.2.0 至 6.2.11、6.0 中的基于堆的缓冲区溢出漏洞 [CWE-122] .15 及更早版本以及 FortiProxy SSL-VPN 7.2.0 至 7.2.1、7.0.7 及更早版本可能允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。

漏洞检测

用户可以根据官方公布的IOC进行自查,验证自己的系统是否受到攻击。

1. 检查系统是否有以下日志条目:

Logdesc=”Application crashed” and msg=”[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]”

2、检查系统中是否存在以下文件:

/data/lib/libips.bak/data/lib/libgif.so/data/lib/libiptcp.so/data/lib/libipudp.so/data/lib/libjepg.so/var/.sslvpnconfigbk/data/etc/wxd.conf /flash

用户可以通过以下命令查看以上文件:

诊断 sys 最后修改的文件 /data/lib诊断 sys 最后修改的文件 /var/诊断 sys 最后修改的文件 /data/etc/ 诊断 sys 最后修改的文件 /flash

3. 检查 FortiGate 是否连接到以下可疑 IP 地址:

188.34.130.40:444103.131.189.143:30080,30081,30443,20443192.36.119.61:8443,444 172.247.168.153:8033

POC参考:

https://github.com/Amir-hy/cve-2022-42475

https://github.com/scrt/cve-2022-42475


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247496808&idx=2&sn=bc1e859f04160f2b42d50d58cfe0dc6a&chksm=9badbd23acda34351db9bb1a7c3871f97527bdf7c50ccc45b9a01a69e4ed6a121166babbfb58#rd
如有侵权请联系:admin#unsafe.sh