Fortinet, Avustralya organizasyonlarını şimdi yamaya çağırıyor

   Nisan 15, 2025  Posted in ThecyberExpress


Fortinet ürünlerini kullanan Avustralya kuruluşlarının, daha önce bilinen güvenlik açıklarının aktif olarak sömürülmesini vurgulayan yeni bir danışmanlık sonrasında derhal harekete geçmeleri isteniyor. Avustralya Sinyalleri Müdürlüğü Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC) bu uyarıyı öncelikle özel ve kamu sektörlerindeki kuruluşlar içindeki teknik kullanıcılar için yayınlamıştır.

Fortinet, kötü niyetli aktörlerin Fortinet cihazlarına yetkisiz erişimi elde etmek ve sürdürmek için daha eski, takılmamış güvenlik açıklarından yararlandığını gözlemledi. Yamalar daha önce serbest bırakılırken, tehlikeye atılan birçok cihaz ya zamanında güncellenmedi veya güvenlik düzeltmeleri uygulanmadan önce saldırıya uğradı.

Ne oldu?

Fortinet’in son bulguları, bir oyuncunun bilinen üç güvenlik açıkını aktif olarak hedeflediğini ortaya koyuyor:

  • FG -IR -015: SSLVPND’de sınır dışı bir güvenlik açığı yazar.
  • FG-23-097: SSL VPN ön kimlik doğrulaması sırasında yığın tampon taşması.
  • FG-IR-IR-IR-IR-IR-IR — 398: SSLVPND’de yığın tabanlı tampon taşması.

Bu sorunlar, Fortinet’in FortiGate cihazlarındaki SSL VPN bileşenini, işletmeler tarafından güvenli uzaktan erişim için yaygın olarak kullanılan etkiler.

Fortinet daha önce bu güvenlik açıklarını ele alan yamalar yayınlansa da, saldırganların orijinal güvenlik delikleri yamalandıktan sonra bile cihazlara okunaklı erişimi koruyabilecekleri yeni bir teknik ortaya çıktı. Bu erişim, SSL VPN’de dil dosyalarını sunmak için kullanılan bir klasör aracılığıyla kullanıcı ve kök dosya sistemlerini bağlayan sembolik bir bağlantı ekleyerek elde edilir.

Sembolik bağlantı algılamayı önler ve saldırganın cihaz yapılandırmaları gibi potansiyel olarak hassas bilgileri okumasını sağlar.


Tarayıcınız video etiketini desteklemez.

Önemli olarak, SSL VPN özellikli olmayan cihazlar etkilenmez.

Kim etkilenir?

  • Fortinet cihazlarını en son sürümlere güncellemeyen kuruluşlar.
  • Yama yapmadan önce tehlikeye atılan cihazlar, saldırganın erişim yönteminin kalıntıları nedeniyle hala risk altında olabilir.
  • Bu tehdit bölgeye veya sektöre özgü değildir ve tüm sektörler çevrelerini değerlendirmeye teşvik edilir.

Nasıl keşfedildi?

Üçüncü taraf kuruluşlarla iç izleme ve işbirliği ile desteklenen Fortinet’in soruşturması, bu sömürme sonrası tekniğini destekledi. Keşif, karşı önlemler geliştirmek ve etkilenen müşterileri bilgilendirmek için şirketin ürün güvenliği olay müdahale ekibini (PSIRT) tetikledi.

Saldırganın bu yeni yaklaşımı, bilinen güvenlik açıklarının, özellikle de açılmadığında çekici bir hedef olmaya devam ettiğini hatırlatıyor. Fortinet, devlet destekli ve finansal olarak motive olmuş tehdit aktörlerinin kamu açıklamalarından sonraki günler içinde bu tür güvenlik açıklarını taramaya ve kullanmaya devam ettiğini vurguladı.

Şimdi ne yapmalısın?

ASD’nin ACSC’si aşağıdakileri şiddetle tavsiye eder:

  1. Tüm Fortinet cihazlarını hemen aşağıdaki güvenli sürümlerden birine yükseltin:
    • Fortios 7.6.2, 7.4.7, 7.2.11, 7.0.17 veya 6.4.16
  2. Modifikasyon veya uzlaşma belirtileri için etkilenen cihazlardaki tüm yapılandırmaları gözden geçirin.
  3. Cihaz günlüklerindeki şüpheli davranışlar veya anomaliler için ortamınızı araştırın.

Fortinet ne yaptı?

Müşterilerin ortamlarını güvence altına almalarına ve bu güvenlik açıklarının daha fazla kötüye kullanılmasını önlemelerine yardımcı olmak için Fortinet, birden fazla adım attı:

  • Sembolik bağlantıyı tespit etmek ve kaldırmak için güncellenmiş AV/IPS imzaları yayınlandı.
  • Gelişmiş Fortios sürümleri:
    • Güncellemeler sırasında sembolik bağlantıyı algılayın ve kaldırın.
    • SSL VPN’lerin kötü amaçlı dosyalar sunmasını önleyin.
  • Dahili telemetreye dayalı olarak bilinen etkilenen müşterilere doğrudan iletişim ve yardım sağladı.

Müşterilerin AV/IPS motoru etkin ve lisanslı olması durumunda bu hafifletmeler otomatik olarak uygulanır.

Yeni sürümlerde gelişmiş güvenlik

En son Fortios sürümlerine yükseltme müşterileri, aşağıdakiler gibi gelişmiş güvenlik özelliklerinden yararlanacaktır:

  • Resmi yamalar uygulamadan önce geçici koruma için sanal yama.
  • BIOS düzeyinde ürün yazılımı bütünlüğü doğrulaması.
  • Dosya sistemi Bütünlük Ölçüm Mimarisi (IMA) yoluyla bütünlük izleme.
  • Otomatik güncellemeler, cihazların manuel müdahale olmadan kritik yamalar almasına izin verir.
  • Kesintisiz küme yükseltmesi, otomatik restore yapılandırmaları ve daha pürüzsüz bir yükseltme işlemi için planlanmış yama yükseltmeleri gibi özellikler.

Bu geliştirmeler, Fortinet’in siber güvenlik en iyi uygulamalarına ve sorumlu şeffaflığa yönelik daha geniş bağlılığının bir parçasıdır.

Bu neden önemli

Fortinet’in uyarısı, siber güvenlikte hayati bir prensibi vurgular: Düzeltme uygulanmadan önce cihazlar tehlikeye girerse, tek başına yama yeterli değildir. Saldırganlar, radarın altında erişimi sürdürmek için sembolik bağlantılar gibi gizli teknikler kullanarak daha gelişmiş hale geliyor.

Olay ayrıca siber güvenlikte ortak sorumluluğu vurgulamaktadır:

  • Satıcılar güvenli ürünler sunmalı, güvenlik açıklarını sorumlu bir şekilde ifşa etmeli ve müşterileri hızlı düzeltmelerle desteklemelidir.
  • Müşteriler, yamaları derhal uygulamalı ve bilinen ve ortaya çıkan tehditlere karşı savunmak için güçlü siber hijyen korumalıdır.

Yalnızca 2024’te bildirilen 40.000’den fazla güvenlik açığı ile (NIST verilerine göre), güvenlik güncellemelerini yönetmek tüm BT ortamları için önemli bir rutin haline gelmiştir.

Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber ​​Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.



Source link