Fortinet en NCSC waarschuwen voor ernstig gat in SSL-VPN

Fortinet plaatste gisteren een advisory over de kwetsbaarheid, die de code CVE-2022-42475 heeft gekregen. Daarin zegt het bedrijf dat het gaat om een kwetsbaarheid gebaseerd op een bufferoverflow, waarmee aanvallers op afstand eigen code uit kunnen voeren op getroffen systemen. Het bedrijf is op de hoogte van zeker één geval waarin de kwetsbaarheid in het wild misbruikt is. Het NCSC verwacht echter dat de kwetsbaarheid vaker zal worden misbruikt, omdat VPN-interfaces een geliefd doelwit zijn.

"Dit soort systemen staan over het algemeen aan de rand van een bedrijfsnetwerk. Ze worden gebruikt om gebruikers op afstand via internet toegang te geven tot interne applicaties. Kwetsbaarheden in VPN-interfaces kunnen daarom een startpunt bieden om een netwerk binnen te dringen, waarna mogelijk ook andere systemen worden gecompromitteerd", aldus de organisatie. "Afhankelijk van de situatie, kan een kwaadwillende op die manier bijvoorbeeld toegang krijgen tot gevoelige informatie of een ransomware-aanval uitvoeren."

Advies: controleer systemen op misbruik

Fortinet adviseert organisaties om onmiddellijk te controleren of de eigen systemen getroffen zijn. Het bedrijf deelt dan ook indicatoren die gebruikt kunnen worden om eventueel misbruik vast te stellen. Het gaat om lijstjes met verdachte log-entries, de aanwezigheid van bepaalde bestanden en verbindingen met verdachte IP-adressen. 

Ook is inmiddels een patch beschikbaar gemaakt, waarmee het gat gedicht wordt. Zowel Fortinet als het NCSC adviseren dan ook om de patch "zo spoedig mogelijk te installeren".