Fortinet, FortiOS SSL VPN’de büyük olasılıkla vahşi ortamda istismar edildiğini söylediği yeni bir kritik güvenlik açığını açıkladı.
Güvenlik açığı, CVE-2024-21762 (CVSS puanı: 9.6), isteğe bağlı kod ve komutların yürütülmesine olanak tanır.
“Sınırların dışında yazma güvenlik açığı [CWE-787] Şirket perşembe günü yayınlanan bir bültende, “FortiOS’taki bu güvenlik açığı, uzaktan kimlik doğrulaması yapılmamış bir saldırganın özel hazırlanmış HTTP istekleri yoluyla rastgele kod veya komut yürütmesine izin verebilir” dedi.
Ayrıca sorunun nasıl ve kim tarafından silahlandırıldığına ilişkin ek ayrıntı vermeden, konunun “doğal ortamda istismar edilme potansiyeli” taşıdığını kabul etti.
Aşağıdaki sürümler bu güvenlik açığından etkilenmektedir. FortiOS 7.6’nın etkilenmediğini belirtmekte fayda var.
- FortiOS 7.4 (7.4.0’dan 7.4.2’ye kadar olan sürümler) – 7.4.3 veya üstüne yükseltme
- FortiOS 7.2 (7.2.0’dan 7.2.6’ya kadar olan sürümler) – 7.2.7 veya üstüne yükseltme
- FortiOS 7.0 (7.0.0’dan 7.0.13’e kadar olan sürümler) – 7.0.14 veya üstüne yükseltme
- FortiOS 6.4 (sürüm 6.4.0 ila 6.4.14) – 6.4.15 veya üstüne yükseltme
- FortiOS 6.2 (sürüm 6.2.0 ila 6.2.15) – 6.2.16 veya üstüne yükseltme
- FortiOS 6.0 (sürüm 6.0 tüm sürümler) – Sabit bir sürüme geçiş yapın
Bu gelişme, Fortinet’in CVE-2024-23108 ve CVE-2024-23109 için yayınladığı yamalarla birlikte geliyor ve FortiSIEM denetçisini etkileyerek kimliği doğrulanmamış uzak bir saldırganın hazırlanmış API istekleri aracılığıyla yetkisiz komutlar yürütmesine olanak tanıyor.
Bu haftanın başlarında Hollanda hükümeti, silahlı kuvvetler tarafından kullanılan bir bilgisayar ağına Çin devleti destekli aktörler tarafından, COATHANGER adı verilen bir arka kapı sağlamak üzere Fortinet FortiGate cihazlarındaki bilinen kusurlardan yararlanılarak sızıldığını açıkladı.
Şirket, bu hafta yayınlanan bir raporda, yazılımındaki CVE-2022-42475 ve CVE-2023-27997 gibi N günlük güvenlik açıklarının hükümetleri, hizmet sağlayıcıları ve danışmanlık şirketlerini hedef almak için birden fazla faaliyet kümesi tarafından istismar edildiğini açıkladı. , üretim ve büyük kritik altyapı kuruluşları.
Daha önce Çinli tehdit aktörleri, BOLDMOVE, THINCRUST ve CASTLETAP gibi çok çeşitli implantları sunmak için Fortinet cihazlarındaki güvenlik kusurlarından sıfır gün istismarıyla ilişkilendirilmişti.
Bu aynı zamanda ABD hükümetinin, Volt Typhoon adlı bir Çin ulus-devlet grubu hakkındaki tavsiyesinin de ardından geldi; bu grup, ağ oluşturma cihazlarındaki bilinen ve sıfır gün kusurlarından yararlanarak uzun vadeli keşfedilmemiş kalıcılık için ülkedeki kritik altyapıyı hedef aldı. İlk erişim için Fortinet, Ivanti Connect Secure, NETGEAR, Citrix ve Cisco’dan.
İddiaları reddeden Çin, ABD’yi kendi siber saldırılarını düzenlemekle suçladı.
Aksine, Çin ve Rusya tarafından yürütülen kampanyalar, bu tür teknolojilerin uç nokta algılama ve yanıt (EDR) desteğinden yoksun olması ve bu teknolojilerin kötüye kullanıma uygun hale gelmesi nedeniyle son yıllarda internete bakan uç cihazların karşı karşıya olduğu artan tehdidin altını çiziyor.
“Bu saldırılar, halihazırda çözümlenmiş N günlük güvenlik açıklarının ve ardından gelen güvenlik açıklarının kullanıldığını gösteriyor [living-off-the-land] Fortinet, “Bu tekniklerin, Volt Typhoon olarak bilinen ve bu yöntemleri kritik altyapıyı ve potansiyel olarak diğer komşu aktörleri hedef almak için kullanan siber aktör veya aktörler grubu tarafından kullanılan davranışların son derece göstergesi olduğunu” ifade etti.