Bir tehdit oyuncunun, Fortinet’in önde gelen karanlık bir web forumunda Fortigate güvenlik duvarlarını hedefleyen sıfır gün istismarını bildirdiği bildirildiğinden, siber güvenlik manzarasında ürpertici yeni bir gelişme ortaya çıktı.
Bu istismar, kimlik doğrulanmamış uzaktan kod yürütme (RCE) ve Fortios’a tam yapılandırma erişimini sağlar ve saldırganların kimlik bilgisi olmadan savunmasız cihazların kontrolünü ele geçirme potansiyelinin kilidini açar.
Bu keşif, Fortinet’in küresel olarak işletmeler ve devlet kurumlarında yaygın kullanımı göz önüne alındığında alarm çanlarını başlattı.
.png
)
Siber güvenlik firması Tehditmon tarafından gözlemlenen iddia edilen sıfır gün istismarı, uzlaşmış cihazlardan hassas konfigürasyon dosyalarını çıkarma yeteneğine sahiptir ve aşağıdakiler gibi kritik verilere erişim sunar:
- Yerel Kullanıcı Kimlik Bilgileri: Local_users.json’da saklanan şifreli şifreler.
- Yönetici Hesap Ayrıntıları: Admin_accounts.json’da belgelenen izinler ve güven ilişkileri.
- İki faktörlü kimlik doğrulama (2FA) durumu: Two_factor.json’dan Fortitoken yapılandırmaları hakkında ayrıntılar.
- Güvenlik duvarı politikaları ve ağ yapılandırmaları: Kural kümeleri, NAT eşlemeleri ve dahili IP varlık detayları.
Çıkarımlar şiddetlidir. Bu tür bilgiler, saldırganların güvenlik önlemlerini atlamasına, ağlara sızmasına ve potansiyel olarak ikincil saldırılar başlatmasına izin verebilir.
Bu istismar, Fortinet’in ürünlerinde kalıcı bir konu olan kimlik doğrulama baypas güvenlik açıklarından etkilenen Fortios sürümlerini hedefliyor gibi görünüyor.
Fortinet güvenlik açıklarının tarihsel bağlamı
Fortinet, son yıllarda güvenlik açıkları ile zorluklardan payıyla karşılaştı.
Bu yılın başlarında, yeni tanımlanan bir hack varlığı olan Belsen Grubu, 15.000’den fazla Fortigate güvenlik duvarı için yapılandırdı ve 2022’de açıklanan bir kimlik doğrulama bypass güvenlik açığı olan CVE-2022-40684’ten yararlandı.
İki yaşından büyük olmasına rağmen, bu güvenlik açığı modeli yapılandırmalarla sistemleri etkilemeye devam etti.
Son zamanlarda Fortinet, saldırganların hazırlanmış taleplerle süper admin ayrıcalıkları kazanmasına izin veren başka bir kritik güvenlik açığı olan CVE-2024-55591’i açıkladı.
Fortios ve Fortiproxy versiyonlarını etkileyen bu kusur, Fortinet ürünlerini çevreleyen rahatsız edici bir sömürü modelinin altını çizdi.
Potansiyel riskler ve hafifletme
Reklamı yapılan sıfır gün istismarı kuruluşlar için çeşitli risk oluşturmaktadır:
- Yetkisiz Erişim: Saldırganlar cihazlar üzerinde idari kontrol kazanabilir, yapılandırmaları değiştirebilir ve hassas verileri çalabilir.
- Ağ uzlaşması: Güvenlik duvarları, ağlardaki yanal hareket için giriş noktaları görevi görebilir.
- Veri ihlalleri: Sızan kimlik bilgileri ve yapılandırma dosyaları gizli bilgilerin maruz kalma riskini artırır.
- Operasyonel bozulma: Değiştirilmiş güvenlik duvarı politikaları normal ağ işlemlerini bozabilir veya gelecekteki güvenlik açıklarını yaratabilir.
Dünya çapında kullanımda olan 300.000’den fazla potansiyel olarak savunmasız Fortinet güvenlik duvarıyla, olası hasarın kapsamı göz korkutucu.
Fortinet, kullanıcıları derhal yamaları uygulamaya, ağ trafiğini izlemeye, katı erişim kontrollerini uygulamaya ve güvenlik duvarı yapılandırmalarının düzenli denetimlerini yapmaya çağırdı.
Bu sıfır gün istismarı, siber tehditlerin artan sofistike olmasını ve güvenilir güvenlik ürünlerinde bile kalıcı güvenlik açıklarını vurgulamaktadır.
Saldırganlar yaygın olarak kullanılan işletme çözümlerini hedeflemeye devam ettikçe, kuruluşlar gelişen siber risklerden bir adım önde kalmak için proaktif güncellemeler, trafik izleme ve kapsamlı erişim kontrolleri de dahil olmak üzere sağlam siber güvenlik önlemlerine öncelik vermelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!