Fortinet, müşterilerini, tehdit aktörlerinin, savunmasız FortiGate güvenlik duvarlarını hedeflerken iki faktörlü kimlik doğrulamayı (2FA) atlamalarına olanak tanıyan kritik bir FortiOS güvenlik açığından hâlâ aktif olarak yararlandıkları konusunda uyardı.
CVE-2020-12812 olarak takip edilen bu uygunsuz kimlik doğrulama güvenlik açığı, FortiGate SSL VPN’de bulundu ve saldırganların, kullanıcı adının büyük/küçük harflerini değiştirirken ikinci kimlik doğrulama faktörü (FortiToken) istenmeden yama yapılmamış güvenlik duvarlarında oturum açmasına olanak tanıyor.
Fortinet, Temmuz 2020’de güvenlik açığını düzeltirken şöyle açıkladı: “Bu, ‘yerel kullanıcı’ ayarında iki faktörlü kimlik doğrulama etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü bir uzaktan kimlik doğrulama yöntemine (ör. ldap) ayarlandığında meydana gelir.” “Sorun, yerel ve uzaktan kimlik doğrulama arasındaki tutarsız büyük/küçük harfe duyarlı eşleşme nedeniyle ortaya çıkıyor.”
Fortinet, bu kusuru gidermek için Temmuz 2020’de FortiOS 6.4.1, 6.2.4 ve 6.0.10 sürümlerini yayımladı ve güvenlik güncellemesini dağıtamayan BT yöneticilerine, 2FA atlama sorununu önlemek için kullanıcı adı büyük/küçük harf duyarlılığını kapatmalarını tavsiye etti.
Geçtiğimiz hafta şirket, saldırganların hala CVE-2020-12812’yi vahşi ortamda istismar ettiği ve LDAP (Hafif Dizin Erişim Protokolü) etkinleştirilmiş güvenlik duvarlarını hedef aldığı konusunda müşterileri uyardı.
Ancak devam eden bu saldırılara karşı savunmasız olmak için kuruluşların FortiGate üzerinde iki faktörlü kimlik doğrulama (2FA) gerektiren ve LDAP’ye bağlı yerel kullanıcı girişlerinin olması gerekir. Ek olarak bu kullanıcıların, FortiGate’te de yapılandırılması gereken bir LDAP grubuna ait olması gerekir.
“Fortinet, yakın zamanda Temmuz 2020’deki FG-IR-19-283 / CVE-2020-12812 güvenlik açığının belirli yapılandırmalara dayalı olarak vahşi ortamda kötüye kullanıldığını gözlemledi” dedi.
“Bu durumu mümkün kılan şeylerden biri, yerel LDAP kimlik doğrulaması başarısız olduğunda kullanılan ikincil LDAP Grubunun yanlış yapılandırılmasıdır. İkincil bir LDAP Grubu gerekmiyorsa kaldırılmalıdır. Hiç LDAP grubu kullanılmıyorsa, LDAP grubu aracılığıyla kimlik doğrulama mümkün değildir ve kullanıcı adı yerel bir girişle eşleşmezse kullanıcı kimlik doğrulamasında başarısız olur.”
Nisan 2021’de FBI ve CISA, devlet destekli bilgisayar korsanlarının, 2FA’yı atlamak için CVE-2020-12812’yi kötüye kullanan biri de dahil olmak üzere birden fazla güvenlik açığını hedef alan açıklardan yararlanarak Fortinet FortiOS örneklerine saldırdığı konusunda uyardı.
Yedi ay sonra, Kasım 2021’de CISA, CVE-2020-12812’yi bilinen istismar edilen güvenlik açıkları kataloğuna ekledi, onu fidye yazılımı saldırılarında istismar edildi olarak etiketledi ve federal kurumlara sistemlerini Mayıs 2022’ye kadar güvence altına almalarını emretti.
Fortinet’in güvenlik açıklarından, saldırılarda sıklıkla sıfır gün güvenlik açıklarından yararlanılıyor. Örneğin Kasım ayında şirket, yaygın saldırılarda kötüye kullanılan ikinci bir FortiWeb sıfır gününü (CVE-2025-64446) sessizce yamaladığını doğruladıktan bir hafta sonra, FortiWeb sıfır gününün (CVE-2025-58034) aktif olarak istismar edildiği konusunda uyarıda bulundu.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.