Fortinet’in FortiOS ve FortiProxy ürünlerindeki kritik bir sıfır gün güvenlik açığı, etkilenen cihazlarda süper yönetici ayrıcalıkları kazanmak için bilgisayar korsanları tarafından aktif olarak kullanılıyor.
CVE-2024-55591 olarak izlenen kimlik doğrulama atlama kusuru, uzaktaki saldırganların Node.js websocket modülüne yönelik hazırlanmış istekler yoluyla yetkisiz kod veya komutlar yürütmesine olanak tanır.
Fortinet, bu güvenlik açığından yararlanıldığını doğrulayarak kullanıcıları acilen harekete geçmeye çağırdı. Etkilenen sürümler arasında FortiOS 7.0.0 ila 7.0.16, FortiProxy 7.2.0 ila 7.2.12 ve FortiProxy 7.0.0 ila 7.0.19 bulunmaktadır.
Arctic Wolf’taki güvenlik araştırmacıları, bu güvenlik açığıyla ilgili şüpheli etkinliği ilk kez 2024 Kasım ayının ortalarında gözlemledi.
Saldırı kampanyası dört aşamadan geçti: güvenlik açığı taraması, keşif, SSL VPN yapılandırması ve yanal hareket.
Tehdit aktörlerinin, en sık kullanılanı 45.55.158.47 olmak üzere çeşitli IP adresleri kullandığı görüldü.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Gözlemlenen diğer IP’ler
Gözlemlenen diğer IP’ler şunları içerir: –
- 87.249.138.47
- 155.133.4.175
- 37.19.196.65
- 149.22.94.37
Tehlike göstergeleri arasında yetkisiz yönetici oturum açma işlemleri, rastgele kullanıcı adlarıyla yeni hesapların oluşturulması ve çeşitli yapılandırma değişiklikleri yer alır.
Saldırganların hem yönetici hem de yerel kullanıcı hesapları oluşturduğu, kullanıcıları SSL VPN gruplarına eklediği ve güvenlik duvarı politikalarını değiştirdiği gözlemlendi.
Fortinet, kullanıcıların en son yamalı sürümlere yükseltme yapmalarını öneriyor:
- FortiOS 7.0.17 veya üzeri
- FortiProxy 7.2.13 veya üzeri
- FortiProxy 7.0.20 veya üzeri
Hemen güncelleme yapamayanlar için Fortinet, HTTP/HTTPS yönetim arayüzünün devre dışı bırakılması veya yerel politikalar yoluyla yönetim arayüzüne erişebilen IP adreslerinin sınırlandırılması da dahil olmak üzere geçici çözüm adımları sağladı.
Etkilenen Fortinet ürünlerini kullanan kuruluşlara, güvenlik ihlali işaretlerini kontrol etmeleri ve ağlarını olası ihlallerden korumak için gerekli önlemleri almaları şiddetle tavsiye edilir.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!