ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Çarşamba günü Fortinet ürünlerini etkileyen kritik bir güvenlik kusurunu Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve aktif istismarın kanıtlarını öne sürdü.
Şu şekilde izlenen güvenlik açığı: CVE-2024-23113 (CVSS puanı: 9,8), FortiOS, FortiPAM, FortiProxy ve FortiWeb’i etkileyen uzaktan kod yürütme durumlarıyla ilgilidir.
“Harici olarak kontrol edilen format dizesi güvenlik açığının kullanımı [CWE-134] FortiOS’taki fgfmd arka plan programı, kimliği doğrulanmamış uzak bir saldırganın özel hazırlanmış istekler yoluyla rastgele kod veya komutlar yürütmesine izin verebilir.” Fortinet, Şubat 2024’teki kusura ilişkin bir danışma belgesinde belirtti.
Genelde olduğu gibi bülten, bu eksikliğin doğada nasıl istismar edildiğine veya onu kimin kime karşı silah haline getirdiğine ilişkin ayrıntılar konusunda çok az bilgi veriyor.
Aktif kullanımın ışığında, Federal Sivil Yürütme Organı (FCEB) kurumlarına, optimum koruma için 30 Ekim 2024’e kadar satıcı tarafından sağlanan azaltımları uygulama yetkisi verildi.
Palo Alto Networks, Expedition’daki Kritik Hataları Açıkladı
Bu gelişme, Palo Alto Networks’ün Expedition’da bir saldırganın sistemdeki geçici depolama konumlarına rastgele dosyalar yazmanın yanı sıra veritabanı içeriklerini ve rastgele dosyaları okumasına olanak verebilecek çok sayıda güvenlik açığını ortaya çıkarmasıyla ortaya çıktı.
Palo Alto Networks Çarşamba günü yayınlanan bir uyarıda, “Birleşik olarak bunlar, kullanıcı adları, şifresiz metin şifreleri, cihaz yapılandırmaları ve PAN-OS güvenlik duvarlarının cihaz API anahtarları gibi bilgileri içerir.” dedi.
Expedition’ın 1.2.96’dan önceki tüm sürümlerini etkileyen güvenlik açıkları aşağıda listelenmiştir:
- CVE-2024-9463 (CVSS puanı: 9,9) – Kimliği doğrulanmamış bir saldırganın kök olarak rastgele işletim sistemi komutları çalıştırmasına izin veren bir işletim sistemi (OS) komut ekleme güvenlik açığı
- CVE-2024-9464 (CVSS puanı: 9,3) – Kimliği doğrulanmış bir saldırganın kök olarak rastgele işletim sistemi komutları çalıştırmasına izin veren bir işletim sistemi komut ekleme güvenlik açığı
- CVE-2024-9465 (CVSS puanı: 9,2) – Kimliği doğrulanmamış bir saldırganın Expedition veritabanı içeriğini açığa çıkarmasına olanak tanıyan bir SQL enjeksiyon güvenlik açığı
- CVE-2024-9466 (CVSS puanı: 8,2) – Kimliği doğrulanmış bir saldırganın, bu kimlik bilgileri kullanılarak oluşturulan güvenlik duvarı kullanıcı adlarını, şifrelerini ve API anahtarlarını açığa çıkarmasına olanak tanıyan, hassas bilgilerin açık metin olarak depolanması güvenlik açığı
- CVE-2024-9467 (CVSS puanı: 7,0) – Kimliği doğrulanmış bir Expedition kullanıcısının tarayıcısı bağlamında, kullanıcının kötü amaçlı bir bağlantıya tıklaması durumunda kötü amaçlı JavaScript yürütülmesine olanak tanıyan, Expedition tarayıcısına yol açabilecek kimlik avı saldırılarına izin veren, yansıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı oturum hırsızlığı
Şirket, CVE-2024-9464, CVE-2024-9465 ve CVE-2024-9466’yı keşfedip raporladığı için Horizon3.ai’den Zach Hanley’e ve CVE-2024-9463, CVE-2024- için Palo Alto Networks’ten Enrique Castillo’ya teşekkür etti. 9464, CVE-2024-9465 ve CVE-2024-9467.
Horizon3.ai’nin izniyle, sorunu yeniden oluşturmaya yönelik adımların zaten kamuya açık olduğu söylense de, bu sorunlardan doğal olarak yararlanıldığına dair hiçbir kanıt yok.
İnternete açık yaklaşık 23 Expedition sunucusu bulunmaktadır ve bunların çoğu ABD, Belçika, Almanya, Hollanda ve Avustralya’da bulunmaktadır. Azaltıcı önlem olarak erişimin yetkili kullanıcılar, ana bilgisayarlar veya ağlarla sınırlandırılması ve yazılımın aktif kullanımda olmadığı zamanlarda kapatılması önerilir.
Cisco, Nexus Dashboard Yapı Denetleyicisi Kusurunu Düzeltiyor
Geçen hafta Cisco, Nexus Dashboard Fabric Controller’da (NDFC) uygunsuz kullanıcı yetkilendirmesinden ve komut argümanlarının yetersiz doğrulanmasından kaynaklandığını söylediği kritik bir komut yürütme kusurunu düzeltmek için yamalar yayınladı.
Şu şekilde izlendi: CVE-2024-20432 (CVSS puanı: 9,9), kimliği doğrulanmış, düşük ayrıcalıklı, uzaktaki bir saldırganın, etkilenen bir cihaza komut ekleme saldırısı gerçekleştirmesine izin verebilir. Kusur, NDFC sürüm 12.2.2’de giderilmiştir. 11.5 ve önceki sürümlerin bu durumdan etkilenmediğini belirtmekte fayda var.
“Bir saldırgan, etkilenen bir REST API uç noktasına hazırlanmış komutlar göndererek veya web kullanıcı arayüzü aracılığıyla bu güvenlik açığından yararlanabilir” dedi. “Başarılı bir istismar, saldırganın ağ yöneticisi ayrıcalıklarına sahip Cisco NDFC tarafından yönetilen bir cihazın CLI’sinde rastgele komutlar yürütmesine olanak tanıyabilir.”