CISA bugün, saldırganların Perşembe günü Fortinet tarafından yamalanan kritik bir uzaktan kod yürütme (RCE) hatasından aktif olarak yararlandıklarını doğruladı.
Kusur (CVE-2024-21762), FortiOS işletim sistemindeki, kimliği doğrulanmamış saldırganların kötü niyetli olarak hazırlanmış HTTP isteklerini kullanarak uzaktan rastgele kod yürütmesine olanak tanıyan sınır dışı yazma zayıflığından kaynaklanıyor.
Savunmasız cihazlara yama uygulamak için güvenlik güncellemelerini hemen dağıtamayan yöneticiler, cihazda SSL VPN’yi devre dışı bırakarak saldırı vektörünü ortadan kaldırabilir.
CISA’nın duyurusu, Fortinet’in kusurun “potansiyel olarak vahşi doğada istismar edildiğini” belirten bir güvenlik tavsiyesi yayınlamasından bir gün sonra geldi.
Şirket henüz potansiyel CVE-2022-48618 ile ilgili daha fazla ayrıntı paylaşmasa da CISA, bu güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna ekledi ve bu tür hataların “kötü niyetli siber aktörler için sık görülen saldırı vektörleri” olduğu ve “federal devlet için önemli riskler” oluşturduğu konusunda uyarıda bulundu. girişim.”
Siber güvenlik kurumu ayrıca ABD federal kurumlarına, Kasım 2021’de yayınlanan bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği şekilde, 16 Şubat’a kadar yedi gün içinde FortiOS cihazlarını bu güvenlik hatasına karşı korumalarını emretti.
Kafa karıştırıcı açıklamalar
Fortinet, bu hafta FortiSIEM çözümünde diğer iki kritik RCE güvenlik açığını (CVE-2024-23108 ve CVE-2024-23109) yamaladı.
Başlangıçta şirket, CVE’lerin gerçek olduğunu reddetti ve bunların Ekim ayında düzeltilen benzer bir kusurun (CVE-2023-34992) kopyaları olduğunu iddia etti.
Ancak Fortinet’in açıklama süreci oldukça kafa karıştırıcıydı; şirket ilk önce CVE’lerin gerçek olduğunu inkar etti ve Ekim ayında düzeltilen benzer bir kusurun (CVE-2023-34992) kopyaları olarak bunların bir API sorunu nedeniyle yanlışlıkla oluşturulduğunu iddia etti.
Daha sonra açıklandığı üzere hatalar, tarafından keşfedildi ve rapor edildi. Horizon3 güvenlik açığı uzmanı Zach Hanleyşirket sonunda iki CVE’nin orijinal CVE-2023-34992 hatasının varyantları olduğunu kabul etti.
Kimliği doğrulanmamış uzaktan saldırganlar, bu güvenlik açıklarını savunmasız cihazlarda rastgele kod yürütmek için kullanabileceğinden, tüm Fortinet cihazlarının mümkün olan en kısa sürede ve derhal güvenliğinin sağlanması önemle tavsiye edilir.
Fortinet kusurları (çoğunlukla sıfır gün olarak) genellikle siber casusluk kampanyalarında ve fidye yazılımı saldırılarında kurumsal ağların ihlal edilmesini hedefler.
Çarşamba günü Fortinet, Çin devleti destekli Volt Typhoon tehdit grubunun Coathanger özel kötü amaçlı yazılımını dağıtmak için CVE-2022-42475 ve CVE-2023-27997 FortiOS SSL VPN kusurlarını hedef aldığını açıkladı.
Coathanger, yakın zamanda Hollanda Savunma Bakanlığı askeri ağına arka kapı açmak için kullanılan Fortigate ağ güvenlik cihazlarını etkilemek üzere tasarlanmış bir uzaktan erişim truva atıdır (RAT).