Ağınızı Nasıl Güvenli Hale Getirirsiniz?

   Ocak 15, 2025  Posted in ThecyberExpress


Avustralya Siber Güvenlik Merkezi (ACSC), Fortinet’in FortiOS ve FortiProxy ürünlerindeki kritik bir güvenlik açığına ilişkin bir uyarı yayınladı. Fortinet’in bu güvenlik açığı, aktif olarak istismar ediliyor ve bu ürünlere güvenen kuruluşlar için önemli riskler oluşturuyor.

Avustralya’daki işletmeler, kuruluşlar ve devlet kurumlarındaki teknik kullanıcıların, sistemlerini güvence altına almak için derhal harekete geçmeleri tavsiye edilir.

Fortinet’teki Güvenlik Açığı: Ne Oldu?

Fortinet, FortiOS ve FortiProxy’nin belirli sürümlerinde kritik bir güvenlik açığı tespit etti. Bu güvenlik açığı, kimliği doğrulanmamış uzak saldırganların alternatif bir yol veya kanal güvenlik açığından (CWE-288) yararlanarak “süper yönetici” ayrıcalıkları elde etmesine olanak tanır. Raporlar, tehdit aktörlerinin istismar sonrası çeşitli faaliyetler gerçekleştirdiği aktif istismarı doğruluyor.

Fortinet, tehdit aktörleriyle ilişkili risklerin (IOC’ler) ve IP adreslerinin ayrıntılı göstergelerini sağladı. Bunlar, kuruluşların şüpheli etkinlikleri belirlemesine ve araştırmasına yardımcı olabilir.

Sömürme Sonrası Gözlemlenen Faaliyetler:

Bu güvenlik açığından yararlanan tehdit aktörlerinin aşağıdaki eylemleri gerçekleştirdiği gözlemlenmiştir:

  • Yönetici Hesapları Oluşturma: Saldırganlar cihazlarda rastgele kullanıcı adlarına sahip yönetici hesapları oluşturur.
  • Yerel Kullanıcı Ekleme: Tehdit aktörleri rastgele adlarla yerel kullanıcı hesapları oluşturur ve bunları mevcut SSL VPN kullanıcı gruplarına entegre eder.
  • Cihaz Yapılandırmalarını Ayarlama: Güvenlik duvarı politikaları gibi ayarlarda yapılan değişiklikler kaydedildi.
  • VPN Tünellerinin Kurulması: Saldırganlar, dahili ağlara tüneller oluşturmak için güvenliği ihlal edilmiş hesapları kullanarak SSL VPN’lerde oturum açar.

Etkilenen Sürümler

Aşağıdaki Fortinet ürünleri ve sürümleri etkilendi:


Tarayıcınız video etiketini desteklemiyor.

  • FortiOS:
    • Sürüm 7.0 – 7.0.0’dan 7.0.16’ya
    • Çözüm: 7.0.17 veya sonraki bir sürüme yükseltin.
  • FortiProxy:
    • Sürüm 7.0 – 7.0.0’dan 7.0.19’a
    • Çözüm: 7.0.20 veya üzeri sürüme yükseltin.
    • Sürüm 7.2 – 7.2.0’dan 7.2.12’ye
    • Çözüm: 7.2.13 veya sonraki bir sürüme yükseltin.

Etkilenmeyen Sürümler:
FortiOS 7.4, FortiOS 7.6, FortiProxy 7.4 ve FortiProxy 7.6 bu güvenlik açığından etkilenmez.

Azaltma Adımları

ACSC, kuruluşları sistemlerini korumak için aşağıdaki adımları atmaya çağırıyor:

  1. Güvenli Sürümlere Yükseltme:
    • Etkilenen sistemleri Fortinet’in önerileri doğrultusunda derhal en son sürümlere yükseltin.
    • Uygun yükseltme yolunu belirlemek için Fortinet’in yükseltme aracını kullanın.
  2. Potansiyel Uzlaşmayı Araştırın:
    • Ortamınızda herhangi bir tehlike belirtisi olup olmadığını tespit etmek için Fortinet’in yayınlanmış IOC’lerini inceleyin.
    • Bağlı ağlarda ve cihazlarda olağandışı etkinliklere ilişkin ayrıntılı araştırmalar yapın.
  3. Ağ Etkinliğini İzleyin:
    • Beklenmeyen kullanıcı hesapları veya güvenlik duvarı ilkelerindeki değişiklikler gibi şüpheli davranışları proaktif olarak izleyin.
  4. Fortinet’in Yayınlanmış Tavsiyelerini Takip Edin:
    • Ek teknik ayrıntılar ve rehberlik için Fortinet’in güvenlik açığı bildirimine bakın.

Teknik Geçmiş

Fortinet güvenlik açığı, alternatif bir yol veya kanal güvenlik açığı (CWE-288) kullanarak kimlik doğrulama atlamasından yararlanıyor. Bu kusur, saldırganların süper yönetici ayrıcalıkları kazanmak için Node.js WebSocket modülünü hedefleyen belirli istekler oluşturmasına olanak tanır.

Bu güvenlik açığından yararlanılması, yetkisiz erişime, cihaz yapılandırmalarının değiştirilebilmesine ve ağ içinde daha fazla yanal hareket potansiyeline yol açabilir.

Bu Neden Önemli?

Bu güvenlik açığının kritik niteliği abartılamaz. Süper yönetici ayrıcalıkları kazanan tehdit aktörleri, kuruluşlar için veri ihlalleri, yetkisiz sistem erişimi ve operasyonel bütünlüğün kaybı gibi yıkıcı sonuçlar doğurabilir.

Fortinet ürünleri kurumsal ve devlet ağlarının güvenliğini sağlamak için yaygın olarak kullanılıyor. Bu sistemlerin güncel ve ödünsüz olmasını sağlamak, güvenli bir ağ altyapısının sürdürülmesi açısından önemlidir.

Kuruluşlar İçin Sonraki Adımlar

  • Derhal harekete geçin: Savunmasız cihazları yükseltin ve herhangi bir tehlike belirtisi olup olmadığını araştırın.
  • Fortinet Yükseltme Aracını kullanın: Fortinet’in resmi aracından yararlanarak yükseltme sürecini basitleştirin.
  • Güncel Kalın: Hem Fortinet hem de ACSC’den gelen en son tavsiyeleri takip edin.
  • Güvenlik Önlemlerini Geliştirin: Güçlü ağ izleme sağlayın, gerekli yamaları derhal uygulayın ve personeli güçlü kimlik doğrulama uygulamalarını kullanmaya teşvik edin.

Sistemlerinizin güvenliğinin ihlal edildiğinden şüpheleniyorsanız sorunu derhal ACSC’ye veya siber güvenlik ekibinize bildirin.

Sistemlerinizi bu Fortinet güvenlik açığından korumak, kuruluşunuzun verilerini ve operasyonlarını korumak açısından kritik öneme sahiptir. Ağınızın güvende kalmasını sağlamak için hemen harekete geçin.



Source link