Siber suçlular, Temmuz 2020’den itibaren Fortinet FortiGate’in uzun yamalı bir kusurunu aktif olarak suistimal ederek, güvenlik duvarlarında iki faktörlü kimlik doğrulamayı (2FA) aşıyor ve potansiyel olarak VPN’lere ve yönetici konsollarına yetkisiz erişim sağlıyor.
Fortinet’in PSIRT ekibi yakın tarihli bir blog gönderisinde gerçek zamanlı saldırıları ayrıntılarıyla anlattı ve yöneticileri, uzlaşmayı önlemek için yapılandırmaları derhal denetlemeye çağırdı.
FG-IR-19-283 (CVE-2020-12812) olarak adlandırılan sorun, FortiGate cihazlarının LDAP dizinleriyle karşılaştırıldığında kullanıcı adlarını işleme biçimindeki uyumsuzluktan kaynaklanıyor. FortiGate, kullanıcı adlarını varsayılan olarak büyük/küçük harfe duyarlı olarak ele alırken, Active Directory gibi çoğu LDAP sunucusu büyük/küçük harf dikkate almaz.
Saldırganlar, yerel FortiGate kullanıcılarının 2FA’yı etkinleştirdiği ve aynı zamanda kimlik doğrulama politikalarıyla eşlenen LDAP gruplarının üyeleri olduğu yanlış yapılandırılmış kurulumlarda bundan yararlanır.
Saldırı basit bir şekilde gerçekleşiyor. Yerel bir kullanıcı olan “jsmith”in 2FA’yı etkinleştirdiğini ve “Etki Alanı Kullanıcıları” gibi bir LDAP grubuna bağlandığını varsayalım. Tam “jsmith” ile giriş yapmak jeton istemini tetikler.
Ancak bilgisayar korsanları “Jsmith”, “jSmith” veya herhangi bir durum varyasyonunu girerler. FortiGate yerel kullanıcıyı eşleştiremez ve ardından “Yardım Masası” veya “Kimlik Doğrulama Grubu” gibi LDAP gruplarına bağlı ikincil kimlik doğrulama politikalarına geri döner. Geçerli LDAP kimlik bilgileri tek başına yeterlidir ve 2FA’yı tamamen atlar.
Fortinet, kullanım için şu ön koşulları doğruladı:
- LDAP’ye referans veren 2FA’lı yerel FortiGate kullanıcıları.
- LDAP gruplarındaki kullanıcılar FortiGate üzerinde yapılandırılır ve güvenlik duvarı politikalarında kullanılır (örn. SSL/IPsec VPN veya yönetici erişimi için).
Bu, saldırganlara jeton olmadan VPN girişi veya yükseltilmiş ayrıcalıklar sağlar. Fortinet, sinyal güvenliğinin başarıyla aşıldığı konusunda uyarıyor: LDAP/AD bağlama hesapları da dahil olmak üzere tüm kimlik bilgilerini sıfırlayın ve günlükleri, başarısız yerel eşleşmeler ve ardından LDAP başarıları gibi anormallikler açısından inceleyin.
Güvenlik açığının tarihi, FortiOS 6.0.10, 6.2.4 ve 6.4.1’deki düzeltmelerle 2020 yılına kadar uzanıyor. Ancak yama yapılmamış veya yanlış yapılandırılmış cihazlar ortalıkta dolaşmaya devam ediyor ve fırsatçı bilgisayar korsanlarının ilgisini çekiyor. Fortinet’in analizi, saldırganların belirli kurulumları araştırdığını ve büyük ihtimalle güncel olmayan donanım yazılımlarını taradığını gösteriyor.
Azaltmalar
Yöneticiler şu adımlara öncelik vermelidir:
- Yama Bellenimi: Yük devretme davranışını engellemek için FortiOS 6.0.10+, 6.2.4+ veya 6.4.1+ sürümüne yükseltin.
- Büyük/Küçük Harfe Duyarlılığı Devre Dışı Bırak: Yama uygulanmamış sistemlerde çalıştırın kullanıcı adı-büyük-küçük harf duyarlılığını devre dışı bırak (FortiOS 6.0.10–6.0.12, vb.) veya kullanıcı adı duyarlılığını devre dışı bırak (v6.0.13+, v6.2.10+, v6.4.7+, v7.0.1+). Bu, “jsmith” ve “JSMITH” gibi kullanıcı adlarını normalleştirir.
- LDAP Gruplarını Kırp: Gereksiz ikincil grupları ilkelerden kaldırın. Bunlar olmadan, uyumsuz oturum açma işlemleri tamamen başarısız olur.
- Denetim Günlükleri: Kimlik doğrulama olaylarında büyük/küçük harfe dayalı girişimleri arayın.
Fortinet, LDAP gruplarının yokluğunun yalnızca yerel kullanıcılar için bypass riskini ortadan kaldırdığını vurguluyor. Bu olay acı bir gerçeğin altını çiziyor: Eski güvenlik açıkları konfigürasyon kaymasından kaynaklanıyor.
Kritik ağları koruyan FortiGate güvenlik duvarlarıyla işletmelerin en az ayrıcalıklı politikaları ve düzenli denetimleri uygulaması gerekir. Bir gecikme, fidye yazılımına veya yanal harekete olanak sağlayabilir. Bilgisayar korsanları savunmanızı kırmadan hemen harekete geçin.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
