Shadowserver, yakın zamanda açıklanan CVE-2024-47575 güvenlik açığını kullanarak Fortinet FortiManager cihazlarının yaygın şekilde kullanılması konusunda kritik bir uyarı yayınladı.
CVSS puanı 9,8/10 olan bu kritik kusur, kimliği doğrulanmamış uzak saldırganların etkilenen sistemlerde rastgele kod veya komutlar yürütmesine olanak tanıyor.
“FortiJump” olarak adlandırılan güvenlik açığı, FortiManager’ın fgfmd arka plan programındaki kritik bir işlev için eksik kimlik doğrulamasından kaynaklanıyor.
Fortinet, saldırganların öncelikli olarak ele geçirilen cihazlardan hassas verileri sızdırmaya odaklandığı bu kusurun aktif bir şekilde istismar edildiğini doğruladı.
Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here
Shadowserver’ın Özel Raporu, etkilenen cihazları iki gruba ayırıyor: güvenliği ihlal edildiği doğrulananlar (“CVE-2024-47575-güvenliği ihlal edilmiş” olarak etiketlenenler) ve hedeflenen ancak güvenliği ihlal edildiği doğrulanmayanlar (“CVE-2024-47575-hedefli” olarak etiketlenenler).
Kapsamlı adli tıp analizleri aksini kanıtlamadığı sürece kuruluş, hedeflenen tüm cihazların potansiyel olarak ele geçirilmiş olarak ele alınmasını şiddetle tavsiye eder.
Rapor, ele geçirilen cihazların birden fazla IP adresine sahip olabileceğini veya NAT cihazlarını geçerek tanımlama sürecini karmaşık hale getirebileceğini vurguluyor.
Shadowserver, etkilenen FortiManager sistemlerine bağlı tüm yönetilen cihazlar için şifreler ve kullanıcıya duyarlı veriler de dahil olmak üzere kimlik bilgilerinin değiştirilmesinin aciliyetini vurguluyor.
Mandiant, saldırıları UNC5820 olarak takip edilen bir tehdit aktörüne bağladı. Analizleri, çeşitli sektörlerde 50’den fazla FortiManager cihazını hedef alan istismar kampanyasının en az 27 Haziran 2024’ten beri devam ettiğini ortaya koyuyor.
Kitlesel uzlaşma, güvenlik açığının kritik niteliğini ve tehdit aktörleri tarafından hızla istismar edildiğini vurguluyor.
FortiManager kullanan kuruluşların, Fortinet tarafından sağlanan yamaları derhal uygulamaları veya yama uygulanması mümkün değilse önerilen geçici çözümleri uygulamaları şiddetle tavsiye edilir.
Shadowserver’ın Özel Raporu, olaylar olağan 24 saatlik raporlama penceresi dışında gerçekleşmiş olsa bile potansiyel kurbanları bu önemli ihlal konusunda bilgilendirmeyi amaçlamaktadır.
Kuruluş, bu geriye dönük verilerin paylaşılmasının paydaşlarına önemli faydalar sağlayacağına ve sistemlerini güvence altına almak için gerekli önlemleri almalarına olanak sağlayacağına inanıyor.
Durum gelişmeye devam ettikçe, siber güvenlik uzmanları kuruluşlara dikkatli olmalarını, tehlike göstergelerini izlemelerini ve FortiManager konuşlandırmalarıyla ilgili şüpheli etkinlikleri derhal bildirmelerini tavsiye ediyor.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here