Fortinet, FortiOS ve FortiProxy’yi etkileyen, kimliği doğrulanmamış bir saldırganın özel hazırlanmış istekler kullanarak savunmasız cihazların GUI’sinde rastgele kod yürütmesine veya hizmet reddi (DoS) gerçekleştirmesine izin veren “Kritik” bir güvenlik açığını açıkladı.
Bu arabellek taşması güvenlik açığı, CVE-2023-25610 olarak izlenir ve CVSS v3 puanı 9,3’tür ve kritik olarak derecelendirilir. Bu tür bir kusur, bir program bir bellek arabelleğinden mevcut olandan daha fazla veri okumaya çalıştığında, bitişik bellek konumlarına erişerek riskli davranışlara veya çökmelere yol açtığında ortaya çıkar.
Fortinet tarafından dün yayınlanan güvenlik danışma belgesi, şu anda vahşi ortamda herhangi bir aktif istismar örneğinin farkında olmadığını ve aşağıdaki ürünleri etkilediğini söylüyor:
- FortiOS sürüm 7.2.0 ila 7.2.3
- FortiOS sürüm 7.0.0 ila 7.0.9
- FortiOS sürüm 6.4.0 – 6.4.11
- FortiOS sürüm 6.2.0 – 6.2.12
- FortiOS 6.0, tüm sürümler
- FortiProxy sürüm 7.2.0 ila 7.2.2
- FortiProxy sürüm 7.0.0 ila 7.0.8
- FortiProxy sürüm 2.0.0 – 2.0.11
- FortiProxy 1.2, tüm sürümler
- FortiProxy 1.1, tüm sürümler
CVE-2023-25610 güvenlik açığını gideren hedef yükseltme sürümleri şunlardır:
- FortiOS sürüm 7.4.0 veya üzeri
- FortiOS sürüm 7.2.4 veya üzeri
- FortiOS sürüm 7.0.10 veya üzeri
- FortiOS sürüm 6.4.12 veya üzeri
- FortiOS sürüm 6.2.13 veya üzeri
- FortiProxy sürüm 7.2.3 veya üzeri
- FortiProxy sürüm 7.0.9 veya üzeri
- FortiProxy sürüm 2.0.12 veya üzeri
- FortiOS-6K7K sürüm 7.0.10 veya üzeri
- FortiOS-6K7K sürüm 6.4.12 veya üzeri
- FortiOS-6K7K sürüm 6.2.13 veya üzeri
Fortinet, güvenlik bülteninde listelenen elli cihaz modelinin, savunmasız bir FortiOS sürümü çalıştırsalar bile kusurun rastgele kod yürütme bileşeninden değil, yalnızca hizmet reddi kısmından etkilendiğini söylüyor.
Danışma belgesinde listelenmeyen cihaz modelleri her iki soruna da açık olduğundan, yöneticiler mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamalıdır.
Güncellemeleri uygulayamayanlar için Fortinet, HTTP/HTTPS yönetici arayüzünü devre dışı bırakma veya ona uzaktan erişebilen IP adreslerini sınırlama gibi geçici bir çözüm önerir.
Varsayılan olmayan bağlantı noktası kullanımı durumlarını da kapsayan geçici çözümlerin nasıl uygulanacağına ilişkin yönergeler, güvenlik danışma belgesinde yer almaktadır.
Tehdit aktörleri, kurumsal ağlara ilk erişim elde etmek için bir yöntem sağladıklarından, Fortinet ürünlerini etkileyen kritik önem derecesindeki kusurları, özellikle de yararlanmak için kimlik doğrulaması gerektirmeyenleri izliyor. Bu nedenle, bu güvenlik açığını hızla azaltmak zorunludur.
Örneğin, 16 Şubat’ta Fortinet, FortiNAC ve FortiWeb ürünlerini etkileyen iki kritik uzaktan kod yürütme kusurunu düzelterek kullanıcıları güvenlik güncellemelerini hemen uygulamaya çağırdı.
Açıktan yararlanmak için çalışan bir konsept kanıtı istismarı yalnızca dört gün sonra kamuoyuna açıklandı ve vahşi ortamda aktif istismar 22 Şubat 2023’te başladı.