Fortinet, müşterilerini, FortiSIEM rapor sunucusundaki, kimliği doğrulanmamış uzak saldırganların özel hazırlanmış API istekleri aracılığıyla komutları yürütmek için kullanabileceği kritik bir işletim sistemi komut ekleme güvenlik açığı konusunda uyarıyor.
FortiSIEM (Güvenlik Bilgileri ve Olay Yönetimi), kuruluşlara güvenlik duruşları üzerinde gelişmiş görünürlük ve ayrıntılı kontrol sağlayan kapsamlı bir siber güvenlik çözümüdür.
Sağlık, finans, perakende, e-ticaret, devlet ve kamu sektörlerindeki her büyüklükteki işletmede kullanılmaktadır.
Başka bir işletim sistemi komut enjeksiyonunun çeşidi
Şu anda CVE-2023-36553 olarak izlenen Fortinet’in ürün güvenliği ekibi, bu haftanın başlarında açığı keşfetti ve ona 9,3’lük kritik önem puanı verdi. Ancak ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ciddiyet puanını 9,8 olarak hesapladı.
“İşletim Sistemi Komutanlığı güvenlik açığında kullanılan özel öğelerin uygunsuz şekilde etkisiz hale getirilmesi [CWE-78] FortiSIEM rapor sunucusundaki kimlik doğrulaması yapılmamış uzaktaki bir saldırganın, hazırlanmış API istekleri aracılığıyla yetkisiz komutlar yürütmesine izin verebilir.” -Fortinet
Araştırmacılar, CVE-2023-36553’ün, Ekim başında düzeltilen, CVE-2023-34992 olarak tanımlanan başka bir kritik önemdeki güvenlik sorununun bir çeşidi olduğunu söylüyor.
Uygunsuz etkisizleştirme sorunları, yazılım, özel karakterler veya kontrol öğeleri gibi girdileri, bir yorumlayıcıya teslim edilen kabul edilmiş bir işletim sistemi komutundan geçirilmeden önce sterilize edemediğinde ortaya çıkar.
Bu durumda program, API isteklerini alır ve bunları yürütülecek bir komut olarak işletim sistemine iletir; bu da yetkisiz veri erişimi, değişiklik veya silme gibi tehlikeli senaryolara yol açar.
Etkilenen sürümler arasında FortiSIEM’in 4.7’den 5.4’e kadar olan sürümleri yer alıyor. Fortinet, sistem yöneticilerini 6.4.3, 6.5.2, 6.6.4, 6.7.6, 7.0.1 veya 7.1.0 ve sonraki sürümlere yükseltmeye çağırıyor.
Çekici hedefler
Fortinet ürünleri arasında güvenlik duvarları, uç nokta güvenliği ve izinsiz giriş tespit sistemleri bulunur. Bunlar genellikle bir kuruluşun ağına erişim için gelişmiş, devlet destekli bilgisayar korsanlığı grupları tarafından hedef alınır.
2023 yılında çeşitli siber güvenlik raporları, Fortinet ürünlerindeki hataların İranlı bilgisayar korsanları tarafından ABD havacılık firmalarına ve Çin siber casusluk kümelerine saldırmak için kullanıldığını doğruladı. [1, 2].
Ek olarak, bilgisayar korsanlarının Fortinet ürünlerindeki sıfır gün güvenlik açıklarından yararlanarak devlet ağlarını ihlal ettiği durumlar da yaşandı ve bu durum, belirli FortiGate işletim sistemi bileşenlerine titizlikle ters mühendislik uygulandıktan sonra keşfedildi.