# CVE-2022-42475 > [!critical] RCE Crítico em FortiOS SSL-VPN - CVSS 9.8 - Exploração Ativa > Heap overflow no serviço SSL-VPN do FortiOS permite execução remota de código sem autenticação. Explorada ativamente por atores de ameaça nação-estado como Volt Typhoon em ataques a infraestrutura crítica. ## Visão Geral A [[cve-2022-42475|CVE-2022-42475]] é uma vulnerabilidade crítica de heap overflow no componente **SSL-VPN** do [[_fortinet|Fortinet]] FortiOS, com CVSS 9.8. A falha permite que um atacante remoto não autenticado execute código arbitrário no dispositivo, com potencial de comprometer completamente o appliance e a rede por trás dele. Publicada em dezembro de 2022, esta vulnerabilidade foi rapidamente adicionada ao arsenal de grupos de ameaça nação-estado, incluindo o [[g1017-volt-typhoon|Volt Typhoon]] (China) e outros grupos rastreados como UNC3886. O fato de dispositivos FortiOS SSL-VPN serem amplamente usados como ponto de acesso remoto corporativo os torna alvos de altíssimo valor para espionagem e acesso inicial. No Brasil e LATAM, a [[_fortinet|Fortinet]] possui presença significativa no mercado corporativo e governamental. Organizações de infraestrutura crítica, setor financeiro e governo federal que utilizam FortiGate como gateway VPN devem considerar esta CVE de tratamento prioritário, especialmente dada a exploração ativa documentada. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Heap Overflow - RCE sem autenticação | | Componente | `sslvpn_websession` - FortiOS SSL-VPN | | Vetor | Rede (Network) | | Autenticação necessária | Não | | Complexidade | Baixa | | Exploração ativa | Confirmada (múltiplos atores) | ### Vetor de Ataque ``` Internet → FortiGate SSL-VPN (443) → sslvpn_websession heap overflow → RCE como root ``` A vulnerabilidade reside no parsing de cookies HTTP no componente `sslvpn_websession`. Um atacante envia requisições HTTP malformadas com cookie oversized, causando corrupção do heap e permitindo desvio do fluxo de execução. ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de aplicação exposta públicamente | | [[t1133-external-remote-services\|T1133]] | Abuso de VPN como vetor de acesso inicial | | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas pós-exploração | | [[t1505-003-web-shell\|T1505.003]] | Implantação de web shell pós-RCE | ## Detecção e Defesa **Mitigações:** - Atualizar FortiOS para versões corrigidas imediatamente - [[m1051-update-software\|M1051]] - Prioridade máxima para appliances expostos à internet - [[m1050-exploit-protection\|M1050]] - Habilitar proteção contra exploits no FortiOS - Desabilitar SSL-VPN se não for essencial; usar IPSec como alternativa - Verificar logs de acesso para IPs anômalos em `/var/log/sslvpn` **IOCs conhecidos:** - Verificar presença de arquivos suspeitos em `/data/lib/libips.bak`, `/data/lib/libgif.so` - Monitorar conexões saindo do FortiGate para IPs externos incomuns > [!latam] Relevância para Brasil e LATAM > O mercado brasileiro de segurança perimetral tem forte presença Fortinet. Diversas organizações governamentais, bancos e utilities utilizam FortiGate como gateway VPN principal. Ataques de espionagem nação-estado via esta CVE representam risco real para infraestrutura crítica brasileira, especialmente considerando o histórico de Volt Typhoon em segmentos de energia e telecomúnicações. ## Referências - [Fortinet Advisory FG-IR-22-398](https://www.fortiguard.com/psirt/FG-IR-22-398) - [NVD - CVE-2022-42475](https://nvd.nist.gov/vuln/detail/CVE-2022-42475) - [Mandiant UNC3886 Analysis](https://www.mandiant.com/resources/blog/fortios-malware-ecosystem)