Fortinet, FortiManager’ı etkileyen ve vahşi ortamda aktif olarak istismar edilen kritik bir güvenlik açığının ayrıntılarını doğruladı.
CVE-2024-47575 (CVSS puanı: 9,8) olarak takip edilen güvenlik açığı, FortiJump olarak da biliniyor ve FortiGate’den FortiManager’a (FGFM) protokolüne dayanıyor.
“Kritik işlev güvenlik açığı için eksik bir kimlik doğrulama [CWE-306] FortiManager’daki fgfmd arka plan programı, kimliği doğrulanmamış uzaktaki bir saldırganın, özel hazırlanmış istekler yoluyla rastgele kod veya komutlar yürütmesine izin verebilir,” dedi şirket Çarşamba günü yayınlanan bir danışma belgesinde.
Eksiklik FortiManager 7.x, 6.x, FortiManager Cloud 7.x ve 6.x sürümlerini etkiliyor. Ayrıca, fgfm hizmeti etkinleştirilmiş ve aşağıdaki yapılandırmaya sahip en az bir arayüze sahip olan 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G ve 3900E eski FortiAnalyzer modellerini de etkiler:
config system global set fmg-status enable end
Fortinet ayrıca yüklü FortiManager sürümüne bağlı olarak kusur için iki geçici çözüm de sağladı:
- FortiManager sürümleri 7.0.12 veya üzeri, 7.2.5 veya üzeri, 7.4.3 veya üzeri: Bilinmeyen cihazların kaydolmaya çalışmasını önleyin
- FortiManager sürüm 7.2.0 ve üzeri: FortiGates’in bağlanmasına izin verilen IP adreslerini izin verilenler listesine eklemek için yerel giriş politikaları ekleyin
- FortiManager sürümleri 7.2.2 ve üzeri, 7.4.0 ve üzeri, 7.6.0 ve üzeri: Özel bir sertifika kullanın
runZero’ya göre başarılı bir istismar, saldırganların geçerli bir Fortinet cihaz sertifikasına sahip olmasını gerektiriyor ancak bu tür sertifikaların mevcut bir Fortinet cihazından alınıp yeniden kullanılabileceğini belirtti.
Şirket, “Bu saldırının vahşi doğada belirlenen eylemleri, yönetilen cihazların IP’lerini, kimlik bilgilerini ve yapılandırmalarını içeren çeşitli dosyaların FortiManager’dan dışarı sızmasını bir komut dosyası aracılığıyla otomatikleştirmekti” dedi.
Bununla birlikte, güvenlik açığının, ele geçirilen FortiManager sistemlerine kötü amaçlı yazılım veya arka kapı dağıtmak için silah haline getirilmediği ve herhangi bir veri tabanı veya bağlantıda değişiklik yapıldığına dair herhangi bir kanıt bulunmadığı da vurgulandı.
Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), kusuru Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna eklemesine yol açtı ve federal kurumların düzeltmeleri 13 Kasım 2024’e kadar uygulamasını zorunlu kıldı.
Fortinet ayrıca The Hacker News ile şu açıklamayı paylaştı:
Bu güvenlik açığını (CVE-2024-47575) belirledikten sonra Fortinet, kritik bilgileri ve kaynakları derhal müşterilere iletti. Bu, tehdit aktörleri de dahil olmak üzere daha geniş bir hedef kitleye yönelik bir tavsiye niteliğindeki belgenin kamuya açıklanması öncesinde müşterilerimizin güvenlik duruşlarını güçlendirmelerine olanak tanıyan sorumlu ifşaat süreçlerimiz ve en iyi uygulamalarımızla uyumludur. Ayrıca, bir geçici çözüm ve yama güncellemeleri de dahil olmak üzere, azaltma kılavuzunu yineleyen ilgili bir kamuya açık danışma belgesi (FG-IR-24-423) yayınladık. Müşterilerimize, geçici çözümleri ve düzeltmeleri uygulamak için sağlanan yönergeleri takip etmelerini ve güncellemeler için danışma sayfamızı takip etmeye devam etmelerini tavsiye ediyoruz. Devam eden müdahalemizin bir parçası olarak uygun uluslararası devlet kurumları ve sektör tehdit örgütleriyle koordinasyon sağlamaya devam ediyoruz.