Fortinet, FortiManager yazılımında CVE-2024-47575 olarak tanımlanan kritik bir sıfır gün güvenlik açığını kamuya açıkladı. Güvenlik açığı vahşi doğada aktif olarak kullanıldı.
FortiManager fgfmd arka plan programındaki kritik bir işlev için kimlik doğrulamasının eksik olması nedeniyle, bu güvenlik açığı, kimliği doğrulanmamış uzaktaki saldırganların özel hazırlanmış istekler aracılığıyla rastgele kod veya komutlar yürütmesine olanak tanıyor.
Kusur, ciddiyetini ve etkilenen sistemler üzerindeki potansiyel etkisini vurgulayan CVSS v3 puanı 9,8’dir.
Raporlar, IP adresleri, kimlik bilgileri ve yönetilen cihaz yapılandırmaları da dahil olmak üzere hassas dosyaların FortiManager’dan sızmasını otomatikleştirmek için bu güvenlik açığından yararlanıldığını gösteriyor.
Bu istismarın kötü amaçlı yazılımların veya arka kapıların düşük seviyeli sistem kurulumlarını içermediği ve veritabanlarını veya yönetilen cihaz bağlantılarını değiştirmediği görülüyor.
Free Webinar on Protecting Websites & APIs From Cyber Attacks -> Join Here
Ancak hassas verilere yetkisiz erişim, FortiManager kullanan kuruluşlar için önemli güvenlik riskleri oluşturur.
Etkilenen Sürümler ve Azaltma
Güvenlik açığı, FortiManager ve FortiManager Cloud’un birden fazla sürümünü etkiliyor:
- Forti Yöneticisi: Sürüm 7.6.0, 7.4.0 ila 7.4.4, 7.2.0 ila 7.2.7, 7.0.0 ila 7.0.12 ve 6.4.0 ila 6.4.14.
- FortiManager Bulutu: Sürüm 7.4.1 ila 7.4.4, 7.2 (tüm sürümler) ve 7.0 (tüm sürümler).
Fortinet bu sürümler için yamalar yayınladı ve kullanıcıların derhal güvenli sürümlere geçmelerini istiyor.
Ayrıca, belirli sürümler için, bilinmeyen aygıtların kaydolmasını engellemek ve kimlik doğrulama için özel sertifikalar kullanmak da dahil olmak üzere geçici çözümler mevcuttur.
Fortinet, etkilenen sistemlerin güvenliğini sağlamak için derhal harekete geçilmesini öneriyor:
- Güncelleme: FortiManager için en son yamaları yükleyin veya FortiManager Cloud kullanıyorsanız sabit bir sürüme geçiş yapın.
- Yapılandırmaları İnceleyin: Yapılandırmaları, IoC algılamasından önce alınan yedeklemelerle karşılaştırarak, kurcalanmadığından emin olun.
- Kimlik Bilgilerini Değiştir: Yönetilen tüm cihazlar için şifreleri ve kullanıcıya duyarlı verileri güncelleyin.
- Tehlike Altındaki Sistemleri Yalıtın: Güvenliği ihlal edilmiş FortiManager sistemlerini internetten izole tutun ve yeni kurulumlarla karşılaştırmak için bunları çevrimdışı modda yapılandırın.
Bu sıfır gün güvenlik açığı, birçok kurumsal BT altyapısının kritik bileşenleri olan FortiManager gibi ağ yönetimi araçlarına zamanında yama uygulanmasının ve dikkatli bir şekilde izlenmesinin önemini vurguluyor.
FortiManager’ı kullanan kuruluşlar, bu kusurla ilişkili riskleri azaltmak için hızlı hareket etmeli ve ağlarının potansiyel istismarlara karşı güvende kalmasını sağlamalıdır.
Uzlaşma Göstergeleri
Fortinet, kuruluşların FortiManager sistemlerinin ihlal edilip edilmediğini tespit etmelerine yardımcı olmak için çeşitli güvenlik ihlali göstergeleri (IoC’ler) sağladı:
- Kayıtlı olmayan cihazların eklendiğini gösteren günlük girişleri.
- Kötü amaçlı etkinlikle ilişkili belirli IP adresleri: 45.32.41.202, 104.238.141.143, 158.247.199.37 ve 45.32.63.2.
- Bulunan dosyalar
/tmp/.tmVe/var/tmp/.tmdizinler.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here