Tehdit aktörü Hunt3rkill3rs1, karanlık bir web forumunda CVE-2024-21762 açıklarından yararlanma satışı sunuyor. Bu açık, CVE-2024-21762 olarak tanımlanan ve Fortinet'in FortiOS ve FortiProxy sistemlerini etkileyen güvenlik açığından yararlanmak üzere tasarlandı.
Bu istismar, SSL VPN'deki sınır dışı yazma güvenlik açığını hedef alarak titizlikle hazırlanmış isteklerden yararlanarak kod veya komutların yetkisiz yürütülmesine olanak tanır ve sonuçta ele geçirilen sistemde uzaktan kod yürütmenin (RCE) önünü açar.
CVE-2024-21762 Açıklardan Yararlanan Satış, FortiOS'un SSL VPN İşlevselliğini Hedefliyor
Tehdit aktörünün BreachForums'da yaptığı “CVE-2024-21762 Hunt3rkill3rs1 tarafından İstismar” başlıklı gönderi 23 Mart 2024'te ortaya çıktı. Bu gönderi, FortiOS'ta özellikle SSL VPN ile ilgili ciddi bir güvenlik açığına ışık tuttu.
FortiGate daha önce Şubat ayında, aralarında izinsiz sınır dışı yazma güvenlik açığının da bulunduğu çeşitli güvenlik açıklarını ele alan bir güncelleme yayınlamıştı. Açıktan yararlanma satışı gönderisi, güvenlik açığının vahşi ortamda istismar edilme potansiyeline sahip olduğunu belirterek durumun ciddiyetine işaret etti. FortiGuard, “Bu potansiyel olarak vahşi doğada istismar ediliyor” diyor.
Açıklardan yararlanma satışının arkasındaki kişi olan Hunt3rkill3rs1, bu güvenlik açığından yararlanma sürecini ayrıntılı olarak anlatarak, uzaktan kod yürütmeyi gerçekleştirmek için kullanılan yönteme ilişkin bilgiler sundu. Gönderide, istismarın etkinliğini gösteren bir kavram kanıtı (PoC) ve ilgili tarafların bu istismarı Bitcoin olarak 315 dolara satın almalarına olanak tanıyan bir bağlantı yer alıyordu.
PoC'nin Teknik Analizi
Sağlanan PoC kodunun daha yakından incelenmesi üzerine The Cyber Express, Fortinet'in FortiOS ve FortiProxy sistemlerini etkileyen bir güvenlik açığı olan CVE-2024-21762'den yararlanmak için tasarlanmış bir Python komut dosyası buldu. Komut dosyası, belirli IP adreslerine ve bağlantı noktalarına yönlendirilen HTTP isteklerini düzenleyerek, bu güvenlik açığından yararlanmayı ve hedef sistemde rastgele kod çalıştırmayı hedefliyordu.
Soket oluşturma ve yük aktarımı gibi temel işlevlere yönelik modüllerin yanı sıra, istismar yüklerini oluşturmaktan ve göndermekten sorumlu bir ana işlevi içeriyordu. Komut dosyasındaki yorumlar ve yer tutucular, hedeflenen sistemler üzerinde yetkisiz erişim veya kontrol potansiyeline işaret ediyordu.
Cyber Express, CVE-2024-21762 istismar satışının gerçekliğini doğrulamak için kuruluşla iletişime geçti. Ancak, bu yazının yazıldığı sırada hiçbir resmi açıklama veya yanıt alınmadı ve Hunt3rkill3rs1 tarafından öne sürülen iddialar şu anda doğrulanmamış durumda.
CVE-2024-21762 Danışma Belgesi
Bu olay, Fortinet'in 8 Şubat 2024'te Fortigate SSL VPN'lerinin temelini oluşturan işletim sistemi olan FortiOS'ta çok sayıda kritik güvenlik açığını ortaya çıkaran açıklamasının ardından geldi. Bu güvenlik açıkları arasında CVE-2024-21762 de vardı ve Fortinet'e göre bu güvenlik açığı, uzaktaki saldırganların hazırlanmış HTTP istekleri yoluyla Fortinet SSL VPN'lerinde rastgele kod veya komutlar yürütmesine izin vererek ciddi bir tehdit oluşturuyordu.
Özellikle, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 9 Şubat 2024 itibarıyla Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesinde CVE-2024-21762'yi listeledi ve bu durum, yaygın kullanım örneklerini doğruladı. CVE-2024-21762'den etkilenen ürünler arasında FortiOS ve FortiProxy'nin çeşitli sürümleri bulunmaktadır. Fortinet başlangıçta FortiProxy'yi etkilenen ürünler listesinden çıkarsa da sonraki güncellemeler onun güvenlik açığını kabul etti.
Fortinet, CVE-2024-21762'ye yönelik sabit sürümler öneren hafifletme kılavuzu sağladı. Müşterilerin aşağıdaki sürümlere veya daha yenisine yükseltmeleri önerilir:
- FortiOS: 7.4.3 veya üzeri, 7.2.7 veya üzeri, 7.0.14 veya üzeri, 6.4.15 veya üzeri, 6.2.16 veya üzeri.
- FortiProxy: 7.4.3 veya üzeri, 7.2.9 veya üzeri, 7.0.15 veya üzeri, 2.0.14 veya üzeri.
Ayrıca müşterilerin, web modunu devre dışı bırakmanın uygulanabilir bir çözüm olmadığı uyarısıyla, geçici bir çözüm olarak SSL VPN'yi devre dışı bırakmaları teşvik edilmektedir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.