漏洞预警！Fortigate SSL VPN任意文件读取

Fortinet将其SSL VPN产品线称为Fortigate SSL VPN，这在终端用户和中型企业中非常流行。互联网上架设该服务的设备超过48万台，主要分布在亚洲和欧洲。

近日，默安科技应急响应中心观测到中国台湾安全研究人员@Orange公布了针对 Fortigate SSL VPN 的系列漏洞，其中一个任意文件读取漏洞利用门槛较低，预计会对全球Fortigate SSL VPN造成较大影响。

默安科技的哨兵云资产风险监控系统目前已支持该漏洞的检测，如果您的企业存在相关风险，可以联系我们辅助检测是否受到此类漏洞影响，以免被攻击者恶意利用，造成品牌和经济损失。

漏洞描述

Fortigate SSL VPN的某个页面在获取对应国家的语言文件时，会使用URL中的lang参数去构建要读取的文件名，示例如下：

该操作没有保护措施，会直接附加文件扩展名。看上去似乎只能读取json文件，但实际上我们可以滥用snprintf的特性。snprintf最多会将size-1大小的数据写入输出字符串中。因此，只需要让数据超过缓冲区大小，就可以剔除.json扩展名，从而实现任意文件读取。

攻击者可在未经身份验证的情况下利用该漏洞直接读取VPN认证信息，并在通过VPN认证后利用堆溢出漏洞（CVE-2018-13383）获取系统权限，从而进一步威胁企业内网服务。

受影响的版本

Fortinet FortiOS 5.6.3 - 5.6.7

Fortinet FortiOS 6.0.0 - 6.0.4

漏洞检测

对于该漏洞，目前默安科技的哨兵云资产风险监控系统已支持通过安装相关应急插件进行检测，如下图所示。

修复建议

1. 官网已发布安全更新，用户可以通过 https://fortiguard.com/psirt/FG-IR-18-384 获取。

参考

[1]https://fortiguard.com/psirt/FG-IR-18-384

[2]https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html