Hoe kan ik zien dat ik al gecompromitteerd ben?
Je ziet meerdere log entries met:
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]“
Aanwezigheid van volgende bestanden op het file systeem:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Connecties naar kwaadaardige IP addresses van de FortiGate naar internet toe:
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 192.36.119.61:8443,444
- 172.247.168.153:8033
Hou je IT-omgeving veilig
Fortinet bracht al de nodige updates uit om deze kwetsbaarheid te verhelpen:
- Draait jouw FortiGate op versie 7.2, dan kan je best zo snel mogelijk updaten naar versie 7.2.3.
- Draait jouw FortiGate op versie 7.0, update dan zo snel mogelijk naar versie 7.0.9.
- Draait jouw FortiGate op versie 6.4, update dan zo snel mogelijk naar versie 6.4.11.
- Draait jouw FortiGate op versie 6.2, update dan zo snel mogelijk naar versie 6.2.12.
Tijdelijke Workaround
Mocht onmiddellijk patchen niet mogelijk zijn (omwille van downtime, etc.), dan raden we aan om wel meteen SSLVPN functionaliteit uit te schakelen om pogingen tot inbraak te voorkomen. Let wel op: met deze workaround is de kwetsbaarheid nog niet 100% verholpen. Zo snel mogelijk patchen is dus de boodschap!
Savaco helpt je graag
Je kan uiteraard op Savaco rekenen om je te helpen je omgeving te beschermen. Contacteer dus gerust onze Service Desk of je Services Manager voor het uitvoeren van de nodige patches of andere beveiligingsmaatregelen.
Heb je hierover bijkomende vragen? Ook dan kan je terecht bij onze Service Desk.