Fortinet her iki güvenlik açığını da kritik olarak sınıflandırdı. Eş zamanlı olarak CISA, Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) Kataloğunu sorunla ilgili ayrıntılarla güncelledi.
Ağ güvenliği sağlayıcısı Fortinet, FortiOS’taki uzaktan kod yürütme güvenlik açıklarını (CVE-2024-21762, CVE-2024-23313) gidermek için güvenlik güncellemeleri yayınladı. Bu güvenlik açıkları, etkilenen sistemleri kontrol etmek için siber tehdit aktörleri tarafından kullanılabilir. Fortinet, CVE-2024-21762’nin potansiyel olarak vahşi ortamda istismar edildiğini belirtti.
Fortinet’in tavsiyesini takiben, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Yararlanılan Güvenlik Açıkları (KEV) Kataloğunu 9 Şubat 2024’te CVE-2024-21762’yi ekleyerek güncelledi. CISA, birden fazla sürümü etkileyen bu güvenlik açığının saldırılarda aktif olarak kullanıldığını doğruladı.
Fortinet’e göre CVE-2024-21762 (CVSS 9.6/10.0, Kritik olarak derecelendirildi), SSL VPN’de tespit edilen bir sınır dışı yazma güvenlik açığıdır. Kimliği doğrulanmamış uzaktaki aktörlerin, özel olarak tasarlanmış HTTP istekleri aracılığıyla rastgele kod/komutlar yürütmesine olanak tanır.
Öte yandan, CVE-2024-23113 (CVSS 9.8/10.0, Kritik olarak derecelendirilmiş), FortiOS Forti/gate to FortiManager protokolünde bulunan bir format dizisi hatasıdır ve uzak, kimliği doğrulanmamış aktörlerin rastgele kod ve komutlar yürütmesine olanak tanır. Ancak bu güvenlik açığının vahşi ortamda istismar edildiğine dair hiçbir kanıt yok.
Güvenlik açıkları 6.0, 6.2, 6.4, 7.0, 7.2 ve 7.4 sürümlerini etkiliyor. Fortinet, kullanıcıların daha yeni bir sürüme geçmelerinin tavsiye edildiği 6.0 haricinde, etkilenen her sürüm için yamalar yayınladı. FortiOS 7.6’nın etkilenmediğini belirtmekte fayda var.
Satıcı, müşteri güvenliğini “araştırmacı işbirliği ve şeffaflık kültürü” ile dengelediğini ve PSIRT Danışmanlık süreci aracılığıyla müşterilerle güvenlik önlemleri konusunda düzenli olarak iletişim kurduğunu belirtti.
Yine de Fortinet işletim sistemindeki ‘kritik’ güvenlik açıklarının tespiti siber güvenlik camiasında endişelere yol açtı. CISA daha önce Çin bağlantılı bir tehdit grubu olan Volt Typhoon’un Fortinet, Citrix, Cisco, Ivanti ve NetGear gibi çeşitli satıcıların ağ cihazlarındaki güvenlik açıklarından yararlandığını açıklamıştı.
Tavsiye metninde “Aslında, ABD yazar ajansları yakın zamanda Volt Typhoon aktörlerinin bazı mağdur BT ortamlarına erişimi ve dayanaklarını en az beş yıl boyunca sürdürdüklerine dair belirtiler gözlemledi” ifadesine yer verildi.
Hollandalı kurumlar tarafından keşfedilen örneklerden birinde, grup muhtemelen CVE-2022-42475’i yamalı bir ağ çevresi FortiGate 300D güvenlik duvarında kullanarak ilk erişimi elde etti.
En son Fortinet kusurları ve ağ cihazlarındaki güvenlik açıklarıyla ilgili artan endişeler hakkında bilgi almak için Qualys Tehdit Araştırma Birimi Güvenlik Araştırma Müdürü Mayuresh Dani’ye ulaştık. Dani, Fortinet’in ortaklarını kamuya danışmadan önce güvenlik açığı konusunda uyardığını vurguladı. Bunu göz önünde bulundurursak, güvenlik açığından yararlanmak kolay olabilir ve yakında bir Kavram Kanıtı (PoC) açıklaması gerçekleşebilir.
“Fortinet, duyuru kamuya açıklanmadan önce ortaklarına bu güvenlik açığıyla ilgili gelişmiş bildirimler gönderdi. CVE-2024-21762 zaten CISA KEV listesine dahil edilmiştir. Mayuresh, yararlanma kodunun olgunluğunun satıcı tarafından sağlanan CVSS puanlamasında da YÜKSEK olarak derecelendirildiğini belirtti.
Mayuresh, “Bütün bu gerçekler ve Fortinet’in güvenlik açığını tanımlama şekli göz önüne alındığında, bu güvenlik açığından yararlanmak önemsiz olabilir ve PoC’nin ifşa edilmesi yakın olabilir” diye uyardı. “Ayrıca, istismar için hiçbir kullanıcı etkileşimi gerekmiyor ve bu güvenlik açığının dahili olarak veya harici raporlar aracılığıyla nasıl keşfedildiğine dair bir bilgi yok.”
İLGİLİ KONULAR
- Kritik RCE Güvenlik Açığı 330.000 Fortinet Güvenlik Duvarını Riske Atıyor
- Bilgisayar korsanları, Fortinet VPN kullanıcılarının oturum açma bilgilerini düz metin olarak saklıyor
- Çinli Hackerlar Fortinet Ürünlerindeki 0 Günlük Güvenlik Açığından Yararlanıyor
- Fortinet VPN’deki Kritik Açıklardan Yararlanan Bilgisayar Korsanları – FBI-CISA
- Fortinet Ürünlerini Baypas Etmek ve Firmaların Güvenliğini Ele Geçirmek İçin Kritik Bir Kusurdan Yararlanıldı