內容

上一篇 SSL VPN 研究系列文我們通報了在 Palo Alto GlobalProtect 上的 RCE 弱點，這一篇將公開我們在 Fortigate SSL VPN 上的研究，共計找到下列五個弱點：

• CVE-2018-13379: Pre-auth arbitrary file reading
• CVE-2018-13380: Pre-auth XSS
• CVE-2018-13381: Pre-auth heap overflow
• CVE-2018-13382: The magic backdoor
• CVE-2018-13383: Post-auth heap overflow

透過不需認證的任意讀檔問題(CVE-2018-13379)加上管理介面上的 heap overflow(CVE-2018-13383)，惡意使用者可直接取得 SSL VPN 的最高權限。

此外，我們也發現了一個官方後門(CVE-2018-13382)，可以任意修改使用者密碼。

在回報 Fortigate 後，官方已陸續修復這些弱點，建議 Fortigate SSL VPN 的用戶更新至最新版。

細節

詳細的技術細節請參閱我們的 Advisory： https://devco.re/blog/2019/08/09/attacking-ssl-vpn-part-2-breaking-the-Fortigate-ssl-vpn/

附註

這系列 VPN 研究也得到了今年 BlackHat 2019 Pwnie Awards 的 pwnie for best server-side bug（年度最佳伺服器漏洞）。