Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
ABD Federal Hükümeti Kurumlara Düzeltme veya Azaltma için Üç Hafta Süre Verdi
David Perera (@daveperera) •
23 Ekim 2024
Fortinet, uç cihaz üreticisi ürünlerinin yeniden saldırıya uğradığına dair bir haftadan fazla süren çevrimiçi konuşmaların ardından, Çarşamba günü merkezi yönetim platformunda aktif olarak kullanılan bir güvenlik açığını kamuoyuna duyurdu.
Ayrıca bakınız: Active Directory Masterclass | Bir Saldırgan Gibi Düşünün, Bir Profesyonel Gibi Savun
Silikon Vadisi şirketi, FortiManager’daki bir kusurun, kimliği doğrulanmamış uzak bilgisayar korsanlarının rastgele kod veya komutlar yürütmesine izin verdiğini ve “raporların, bu güvenlik açığının vahşi ortamda istismar edildiğini gösterdiğini” söyledi. ABD Siber Güvenlik ve Altyapı Ajansı Çarşamba günü öğleden sonra, kusuru bilinen istismar edilen güvenlik açıkları kataloğuna ekledi ve federal kurumlara yama veya hafifletme için üç hafta süre verdi.
CVE-2024-47575 olarak takip edilen kusur, CVSS ölçeğinde 10 üzerinden 9,8 puan alarak düzeltilmesini acil hale getiriyor. 13 Ekim’de Fortinet’te yeni bir sıfır gün olasılığını gündeme getiren ve Fortinet’i şeffaf olmadığı için defalarca eleştiren siber güvenlik araştırmacısı Kevin Beaumont, bu güvenlik açığına “FortiJump” adını verdi.
FortiManager’ın şirket içi ve bulut örneklerinde bulunan kusur, bilinen veya bilinmeyen herhangi bir cihazın FortiManager’a bağlanmasına izin veren bir ayardan yararlanıyor. Yönetim platformunun onları tanıyabilmesi için cihazların geçerli bir sertifikaya ihtiyacı vardır. Beaumont, “FortiGate kutusundan bir sertifika alıp yeniden kullanabilirsiniz. Dolayısıyla, kayıt olmak için hiçbir engel yok” diye yazdı. İnternete maruz kalan savunmasız cihazlara yönelik bir aramada bunlardan yaklaşık 60.000’inin ortaya çıktığını ekledi.
Fortinet, bağlandıktan sonra saldırganların, FortiManager’a bağlı diğer ağ uç cihazlarının IP adreslerini, kimlik bilgilerini ve yapılandırmalarını içeren dosyaları dışarı çıkarmak için otomatik komut dosyaları çalıştırdığını söyledi. Şirket, bilgisayar korsanlarının kötü amaçlı yazılım veya arka kapı yüklemek için bu kusurdan yararlandığına dair bir rapor almadığını söyledi. “Bildiğimiz kadarıyla, veritabanlarının değiştirildiğine veya yönetilen cihazlara bağlantı veya değişiklik yapıldığına dair herhangi bir gösterge bulunmuyor.”
Fortinet, açıklama zaman çizelgesi ve şeffaflık hakkındaki sorulara, şirketin “kritik bilgileri ve kaynakları müşterilere derhal ilettiğini” belirten bir açıklamayla yanıt verdi. Bu, müşterilerimizin güvenlik durumlarını önceden güçlendirmelerine olanak tanıyan sorumlu açıklama süreçlerimiz ve en iyi uygulamalarımızla uyumludur. Tehdit aktörleri de dahil olmak üzere daha geniş bir kitleye kamuya duyurulan bir tavsiye niteliğinde.”
Şunları ekledi: “Devam eden yanıtımızın bir parçası olarak uygun uluslararası devlet kurumları ve sektör tehdit örgütleriyle koordinasyon sağlamaya devam ediyoruz.”
Çarşamba günkü açıklamaya giden günler, Fortinet’teki yeni bir güvenlik açığıyla ilgili artan endişelerin daha önce bilinmeyen bir kusurdan mı kaynaklandığı yoksa bunun ABD federal hükümetinin 9 Ekim’de hâlâ aktif olarak istismar edildiği konusunda uyardığı Şubat ayı hatasından mı kaynaklandığı konusunda kamuoyunda kafa karışıklığı yarattı. (Görmek: Fortinet Edge Cihazları Saldırı Altında – Yine).
Fortinet müşterilerine yükseltme yapmalarını tavsiye etti, ancak Bleeping Computer tüm yükseltmelerin şu anda mevcut olmadığını bildirdi.
Şirket ayrıca, bilinmeyen cihazların kaydedilememesi için ayarların değiştirilmesi de dahil olmak üzere geçici çözümler yayınladı. Bazı FortiManager sürümleri, sistem yöneticilerinin cihazların özel sertifikalara sahip olmasını zorunlu kılmasına olanak tanır. “Saldırganın bu CA tarafından imzalanmış bir sertifikayı alternatif bir kanal aracılığıyla alamaması koşuluyla bu, geçici bir çözüm görevi görebilir.” Ek olarak, bazı sürümler yöneticilerin merkezi yönetim platformuna bağlanmasına izin verilen IP adreslerinden oluşan bir beyaz liste oluşturmasına olanak tanır.
Saldırganların kimliği kamuya açıklanmadı. Araştırmacılar, Haziran ayında Hollanda Ulusal Siber Güvenlik Merkezi’nin “önceden bilinenden çok daha büyük” olduğunu söylediği bir kampanyada Çinli ulus-devlet bilgisayar korsanlarının Fortinet güvenlik cihazlarını hedef aldığını tespit etti (bkz: Hollanda Ajansı Çin’in Fortigate Kampanyasına İlişkin Uyarısını Yeniledi).
Ulus devlet korsanlarının ağ uç cihazlarına olan ilgisi son iki yılda hızla arttı ve bazı cihazların eski yazılımlar gibi riskler içerdiğini keşfeden araştırmacıların ilgisinin artmasına neden oldu (bkz.: Ivanti, Kullanım Ömrü Sonu İşletim Sistemleri ve Yazılım Paketlerini Kullanıyor). Güvenlik araştırmacısı Bobby Kuzma bu ayın başlarında Information Security Media Group’a şöyle konuştu: “Cihazların çoğu kelimenin tam anlamıyla gösterişli kasalara sahip Linux kutularıdır. Bunlar, sahip olduğunuz tüm güce, kapasiteye ve aşinalığa sahip standart Linux sistemleridir.”