Fortigate SSL VPN多个高危漏洞预警

2019-08-16 17:43:31
国外安全研究员Orange公布了Fortigate SSL VPN的多个漏洞细节,且部分相关漏洞利用脚本已经在网上公开,不排除有攻击者已开始使用漏洞进行攻击。该系列漏洞利用成功可获取帐号密码,修改帐号密码,多漏洞结合进而获取系统Shell。
漏洞背景

Fortigate SSL VPN被广泛部署于中大型企业中,目前互联网有约5WFortigate 设备。近日,国外安全研究员Orange公布了Fortigate SSL VPN的多个漏洞细节,且部分相关漏洞利用脚本已经在网上公开,不排除有攻击者已开始使用漏洞进行攻击。该系列漏洞利用成功可获取帐号密码,修改帐号密码,多漏洞结合进而获取系统Shell

漏洞详情

被披露相关漏洞主要涉及以下编号(参考自Orange博客)


CVE-2018-13379:任意文件读取漏洞

当获取相应的语言文件时,使用以下方法构建json文件路径

snprintf(s, 0x40, "/migadmin/lang/%s.json", lang);

利用snsnprintf的特性(格式化后的字符串长度>=指定的size时,则只拷贝(size-1)长度到目标str中),当格式化后的字符串长度大于size时,可将.json剥离,进而造成任意文件读取漏洞。


CVE-2018-13380XSS漏洞

相关XSS实例:

/remote/error?errmsg=ABABAB--%3E%3Cscript%3Ealert(1)%3C/script%3E

/remote/loginredir?redir=6a6176617363726970743a616c65727428646f63756d656e742e646f6d61696e29

/message?title=x&msg=%26%23<svg/onload=alert(1)>;


CVE-2018-13381:缓冲区溢出漏洞

由于服务器计算编码字符串缓冲区的长度与编码过程不一致,从而导致缓冲区溢出。


CVE-2018-13382magic后门

在登录页面中,有一个名为magic的特殊参数。一旦该参数等于某个硬编码的字符串,则可以修改任何用户的密码。


CVE-2018-13383:缓冲区溢出漏洞

当解析HTML中的javascript时,执行以下漏洞代码,由于缓冲区大小为固定的0x2000,而输入内容大小没有做限制,将造成缓冲区溢出漏洞。

memcpy(buffer, js_buf, js_buf_len);

影响版本

CVE-2018-13379

FortiOS 5.6.35.6.7

FortiOS 6.0.06.0.4

CVE-2018-13380

FortiOS 6.0.0 to 6.0.4

FortiOS 5.6.0 to 5.6.7

FortiOS 5.4 以下版本

CVE-2018-13381

FortiOS 6.0.0 to 6.0.4

FortiOS 5.6.0 to 5.6.7

FortiOS 5.4 以下版本

CVE-2018-13382

FortiOS 6.0.06.0.4

FortiOS 5.6.05.6.8

FortiOS 5.4.15.4.10

CVE-2018-13383

FortiOS6.0.5以下版本

修复建议

到以下官方指定页面内升级到已修复版本

https://fortiguard.com/psirt/FG-IR-18-388

https://fortiguard.com/psirt/FG-IR-18-389

https://fortiguard.com/psirt/FG-IR-18-387

https://fortiguard.com/psirt/FG-IR-18-383

https://fortiguard.com/psirt/FG-IR-18-384

参考链接

https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html?m=1

https://fortiguard.com/psirt/FG-IR-18-388

https://fortiguard.com/psirt/FG-IR-18-389

https://fortiguard.com/psirt/FG-IR-18-387

https://fortiguard.com/psirt/FG-IR-18-383

https://fortiguard.com/psirt/FG-IR-18-384

最新资讯