Fortivoice, Forttimail, Fortindr, Fortirecorder ve Forticamera dahil olmak üzere çoklu Fortinet ürünlerinde kritik bir yığın tabanlı tampon taşma güvenlik açığı (CWE-121) keşfedilmiştir.
Vahşi doğada aktif olarak kullanılmaktadır. Kimlik doğrulanmamış saldırganların, etkilenen kuruluşlar için önemli bir tehdit oluşturan özel hazırlanmış HTTP istekleri aracılığıyla keyfi kod veya komutlar yürütmesine izin verir.
Fortinet, “Fortinet bunun Vahşi doğada Fortivoice’de sömürüldüğünü gözlemledi” dedi.
.png
)
Güvenlik açığı detayları ve sömürü
Fortinet’in ürün güvenlik ekibi, Fortivoice sistemlerini hedefleyen gerçek dünyadaki sömürü gözlemledikten sonra güvenlik açığını belirledi. Tehdit aktörleri, aşağıdakiler de dahil olmak üzere kötü niyetli faaliyetler yürütmek için kusurdan yararlandı:
- Ağ taraması: Ek güvenlik açıkları için cihaz ağının araştırılması.
- Log manipülasyonu: Sistem çökmelerini silmek için Sistem Çökme Günlükleri.
- Kimlik bilgisi hasat: Sistem veya SSH giriş denemelerinden kimlik bilgilerini yakalamak için FastCGI (FCGI) hata ayıklama etkinleştirme.
Sömürü, kötü niyetli IP adresleri (örneğin, 198.105.127.124, 43.228.217.173), değiştirilmiş sistem dosyaları ve duyarlı verileri çıkarmak için tasarlanmış CRON işleri dahil olmak üzere belirli uzlaşma göstergeleri (IOCS) (IOCS) ile ilişkilendirilmiştir.
Etkilenen ürünler ve azaltma
Güvenlik açığı, Fortinet’in ürün portföyünün çeşitli sürümlerini etkiler. Aşağıdaki tabloda etkilenen sistemleri ve bunların ilgili düzeltmelerini listelemektedir:
| Ürün | Etkilenen sürümler | Çözüm |
|---|---|---|
| Forticamera | 2.1.0–2.1.3 | 2.1.4 veya üstüne yükseltme |
| 2.0, 1.1 (tüm sürümler) | Sabit bir sürüme geçiş yapın | |
| Fortima | 7.6.0–7.6.2 | 7.6.3 veya üstüne yükseltme |
| 7.4.0–7.4.4 | 7.4.5 veya üstüne yükseltme | |
| 7.2.0–7.2.7 | 7.2.8 veya üstüne yükseltme | |
| 7.0.0–7.0.8 | 7.0.9 veya üstüne yükseltme | |
| Fortindr | 7.6.0 | 7.6.1 veya üstüne yükseltme |
| 7.4.0–7.4.7 | 7.4.8 veya üstüne yükseltme | |
| 7.2.0–7.2.4 | 7.2.5 veya üstüne yükseltme | |
| 7.0.0–7.0.6 | 7.0.7 veya üstüne yükseltme | |
| 7.1, 1.5, 1.4, 1.3, 1.2, 1.1 (tüm sürümler) | Sabit bir sürüme geçiş yapın | |
| Kale | 7.2.0–7.2.3 | 7.2.4 veya üstüne yükseltme |
| 7.0.0–7.0.5 | 7.0.6 veya üstüne yükseltme | |
| 6.4.0–6.4.5 | 6.4.6 veya üstüne yükseltme | |
| Fortivoice | 7.2.0 | 7.2.1 veya üstüne yükseltme |
| 7.0.0–7.0.6 | 7.0.7 veya üstüne yükseltme | |
| 6.4.0–6.4.10 | 6.4.11 veya üstüne yükseltme |
Geçici bir geçici çözüm olarak Fortinet, yamalar uygulanana kadar sömürü önlemek için HTTP/HTTPS yönetim arayüzünün devre dışı bırakılmasını önerir.
Uzlaşma Göstergeleri (IOCS)
Aşağıdaki tablo, potansiyel uzlaşmayı tespit etmek için Fortinet tarafından sağlanan IOC’leri detaylandırıyor:
| Kategori | Detaylar |
|---|---|
| Günlük girişleri | CLI komutundaki hatalar DEHOMA Hata ayıklama uygulaması httpd ekran izleme-log: |
| – [fcgid:warn] MOD_FCGID: Hata Okuma Veri, Fastcgi Server Kapalı Bağlantı | |
| – [fcgid:error] MOD_FCGID: Process /migadmin/www/fcgi/admin.fe çıkış (iletişim hatası), beklenmedik sinyal al 11 | |
| Kötü niyetli IP adresleri | 198.105.127.124, 43.228.217.173, 43.228.217.82, 156.236.76.90, 218.187.69.244, 218.187.69.59 |
| Değiştirilmiş ayarlar | Etkin FCGI Hata Ayıklama: CLI Komut Diag Hata Ayıklama Uygulaması FCGI “Genel To Dosya Etkin” |
| Kötü niyetli dosyalar | – /bin /wpad_ac_helper (md5: 4410352e110f82eabc0bf160bec41d21): ana kötü amaçlı yazılım dosyası |
| – /bin /meşgul kutusu (MD5: EBCE43017D2CB316EA45E08374DE7315, 489821C38F429A21EA821F8460E590)) | |
| – /lib/libfmlogin.so (md5: 364929c45703a84347064e2d5de45bcd): logs ssh kimlik bilgileri | |
| – /tmp/.sshdpm: Çalınan kimlik bilgilerini depolar | |
| – /bin /fmtest (md5: 2c834a52faee8d87cff7cd09c4fb946): ağ tarama komut dosyası | |
| Cron Jobs | Modifiye/Veri/etc/crontab ve/var/makara/cron/crontablar/kök: |
| -0 */12 * * * Kök meşgul kutusu grep -rn passw /var/spool/crashlog/fcgi.debug> /var/spool/.sync; Cat/dev/null> /var/spool/crashlog/fcgi.debug | |
| – 0 */12 * * * kök kedi /var/spool/crashlog/fcgi.debug> /var/spool/.sync; Cat/dev/null> /var/spool/crashlog/fcgi.debug | |
| Değiştirilmiş dosyalar | – /var/spool/.sync: Cron Jobs tarafından toplanan kimlik bilgilerini mağaza |
| – /etc/pam.d/sshd: Kötü niyetli libfmlogin.so içerecek şekilde eklenen satırlar | |
| – /etc/httpd.conf: Çorapları içerecek şekilde eklendi. |
Fortinet’in ürün güvenlik ekibi aktif tehdit izleme yoluyla güvenlik açığını keşfetti.
Şirket bugün anında harekete geçerek bir danışmanlık yayınladı. Kuruluşlar, önerilen sürümlere yükseltmeye öncelik vermeli, IOC’ler için izleme ve yama geciktirilirse geçici çözümü uygulamalıdır.
Bu sıfır günlük güvenlik açığı, ağ güvenlik cihazlarının zamanında yama ve uyanık izlenmesi için kritik ihtiyacı vurgulamaktadır.
Onaylanmış aktif sömürü ile Fortinet müşterileri, önerilen düzeltmeleri uygulamak ve uzlaşma belirtilerini kontrol etmek için hızla hareket etmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!