Fortinet FortiWeb’deki şüpheli (ancak şu anda tanımlanamayan) bir sıfır gün güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından savunmasız, internete açık cihazlarda yeni yönetici hesapları oluşturmak için kullanılıyor.
Rapid7 araştırmacıları, kasıtlı veya kazara, güvenlik açığının (veya onu tetikleyen bu özel yolun) en son FortiWeb sürümünde (8.0.2) ele alındığını doğruladı.
Vahşi doğada sömürü
Sömürü girişimleri ilk olarak tehdit istihbarat şirketi Defused tarafından Ekim ayı başında bal küplerinden birinin hedef alınmasının ardından gözlemlendi.
Şu anda halka açık olan kavram kanıtı istismarı, Rapid7 ve watchTowr araştırmacıları tarafından test edildi ve ilki ayrıca, belirli bir FortiWeb’in bu kimlik doğrulama atlama kusuruna karşı savunmasız olup olmadığını tespit etmek için kullanılabilecek bir komut dosyası da yayınladı.
Fortinet, bu güvenlik açığını tespit edebilecek bir güvenlik tavsiyesi yayınlamadı ve konu hakkında henüz resmi bir yorumda bulunmadı.
Ne yapalım?
Rapid7 araştırmacıları, “Bu yeni güvenlik açığından yararlanılması, mevcut erişim düzeyi olmayan bir saldırganın FortiWeb Manager paneline ve websocket komut satırı arayüzüne yönetici düzeyinde erişim elde etmesine olanak tanıyor” dedi.
Kötüye kullanımı önlemek için, web uygulaması güvenlik duvarını kullanan Fortinet müşterilerine ya sürüm 8.0.2’ye güncelleme yapmaları ya da FortiWeb yönetim arayüzlerini genel internetten kaldırmaları önerildi.
Ekim ayının başından bu yana bunu yapmayanlar, bilinen güvenlik ihlali göstergelerini ve yeni, bilinmeyen yönetici kullanıcı hesaplarını da kontrol etmeli ve tespit edilirse tam bir olay araştırması yapmalıdır.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!