Fortinet Perşembe günü, orijinal erişim vektörü kilitlendikten sonra, orijinal erişim vektörü kilitlendikten sonra tespit edilmemiş salt okunur erişimi sürdürmek için Fortigate cihazlarını ihlal etmek için bilinen eski Fortios güvenlik açıklarını kullanan bir tehdit aktörü de akıllıca bir hile yapıyor.
“[Read-only access] Fortinet Ciso Carl Windsor, SSL-VPN için dil dosyalarını sunmak için kullanılan bir klasörde kullanıcı dosya sistemini ve kök dosya sistemini bağlayan sembolik bir bağlantı oluşturarak elde edildi.
“Bu değişiklik kullanıcı dosya sisteminde gerçekleşti ve algılamadan kaçındı. Bu nedenle, müşteri cihazı orijinal güvenlik açıklarını ele alan Fortios sürümleri ile güncellenmiş olsa bile, bu sembolik bağlantı geride bırakılmış olabilir ve tehdit aktörünün cihazın dosya sistemindeki dosyalara yapılandırmaları içerebilecek şekilde okunaklı erişimi sürdürmesine izin verebilir.”
Fortinet’in bu işten çıkarma sonrası tekniğinin kullanımını ilk kez tespit ettiğinde veya tehdit oyuncusunun tekniği ne kadar zamandır kullandığına inandıklarını söylemedi.
Fortinet uyarıyor
Tehdit oyuncusu, uzaktan kod yürütülmesini sağlamak için CVE-2022-42475, CVE-2023-27997 ve CVE-2024-21762’den yararlandı ve kullanıyor.
Windsor, 7.6.2, 7.4.7, 7.2.11, 7.0.17 ve 6.4.16 sürümlerinde kötü niyetli sembolik bağlantının otomatik olarak kaldırıldığını ve SSL-VPN kullanıcı arayüzünün bu tür kötü niyetli sembolik bağlantılar sunması önlendiğini söyledi.
Bundan önce bile, şirket, etkilenen cihazlardan sembolik bağlantıyı tespit etmek ve temizlemek için AV/IPS imzasıyla 7.4, 7.2, 7.0 ve 6.4 sürümlerini yayınladı, ancak bu sadece “ [IPS] Motor lisanslandı ve etkinleştirildi. ”
Bu haftanın başlarında Fortinet, bilinmeyen sayıda müşteriye bir e -posta bildirimi göndermeye başladı ve telemetrelerinin etkilendiklerini gösterdiğini ve hemen harekete geçmelerini tavsiye ettiğini söyledi:
- Kötü niyetli dosyayı kaldırmak ve yeni bir uzlaşmayı önlemek için Fortios sürümlerine yükseltme 7.6.2, 7.4.7, 7.2.11, 7.0.17 veya 6.4.16
- Cihazın yapılandırmasını gözden geçirmek, ancak potansiyel olarak tehlikeye atılmış olarak muamele etmek
- Burada özetlenen, tüm kullanıcıların kimlik bilgilerini sıfırlamayı, sertifikaları iptal etmeyi, sırları sıfırlama vb.
Sertifika tavsiyesi
Alman Federal Bilgi Güvenliği Ofisi (BSI), Fortinet’in güvenlik duvarlarını kullanan kuruluşlara etkilenip etkilenip etkilendiğini veya daha fazla koruyucu önlem alıp almadığını kontrol etmek için bir güvenlik bildirimi yayınladı.
BSI, “Bu bağlamda, özellikle Fortinet ile yerleşik iletişim kanalları aracılığıyla üreticiyle iletişim kurma girişimlerinin son haftalarda yapılıp yapılmadığını kontrol etmelidirler” dedi.
“Bir uzlaşma tespit edilirse, cihazın kendisinin kapsamlı adli analizi ve şüpheli etkinlik için diğer ağ bileşenlerinin araştırılması, ağın daha derin bir uzlaşmasını dışlamak için sıfırlamadan önce yapılmalıdır. BSI, yamalar takılmaya ek olarak, aynı zamanda ilgili erişimin önleyici değişimini değerlendirmeyi ve aynı zamanda, ilgili olarak erişimin önleyici değişimini değerlendirmesini önerir.
BSI nihayet, Almanya’da 10 Nisan 2025 itibariyle, CVE-2024-21762’ye karşı savunmasız yaklaşık 700 Fortigate cihazının bulunduğuna dikkat çekti.
Fransız Bilgisayar Acil Müdahale Ekibi (CERT-FR), Fransa’da yukarıda belirtilen güvenlik açıkları yoluyla tehlikeye atılan çok sayıda cihazı içeren büyük bir kampanyanın farkında olduğunu söyledi. “Olay müdahalesi operasyonları sırasında CERT-FR, 2023’ün başından beri meydana gelen uzlaşmaların farkına vardı” dediler ve saldırganın güvenlik duvarının ötesine geçip geçmediğine dair tam bir soruşturmanın nasıl yapılacağı konusunda tavsiyelerde bulundular.
2025’in başlarında, bir tehdit oyuncusu 15.000’den fazla Fortinet Fortigate güvenlik duvarları için yönetici ve VPN kullanıcı kimlik bilgileri içeren yapılandırma dosyalarını sızdırdı. Tehdit oyuncusunun bir Fortios kimlik doğrulama baypas güvenlik açığından yararlandıktan sonra bu dosyaları çıkardığına inanılmaktadır (CVE-2022-40684).
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!