Fortinet, kötü niyetli bilgisayar korsanlarının daha önce açıklanan bir güvenlik açığından yararlandığı tespit edildikten sonra müşterilerini en yeni ürün yazılımı sürümlerine yükseltmeye çağırıyor.
şirket Pazartesi uyardı FortiOS ve FortiProxy SSL-VPN’deki yığın tabanlı arabellek taşması güvenlik açığı, CVE-2023-27997, bir saldırganın cihazların kontrolünü ele geçirmesine izin verebilir.
Firma uyarıyor yeni bildirilen güvenlik açığı vahşi doğada istismar edilmiştir. Siber Güvenlik ve Altyapı Güvenliği Ajansı, kullanıcıları ve yöneticileri teşvik etmek yeni kılavuzu okumak ve yükseltmeleri uygulamak için.
En son faaliyet, yılın başına kadar uzanan önceki istismar faaliyetlerine ilişkin bir iç soruşturmanın ardından keşfedildi.
Ocak ayında Fortinet şunu buldu: yığın tabanlı arabellek taşması gelişmiş bir saldırgan tarafından hükümetlere ve hükümetle ilgili hedeflere yönelik saldırılarda kullanılıyordu. Vahşi doğada görülen bir istismar, uzaktaki bir saldırgan güvenlik açığını kullanabilir, CVE-2022-42475hedeflenen bir sistemin kontrolünü ele geçirmek için.
Fortinet bir kod denetimi yayınladı ve SSL-VPN modülünde ve dışında ek sorunlar buldu. LexFo’dan araştırmacılar ön kimlik doğrulamadan yararlanılabilecek bir güvenlik açığını açıkladı.
Olgun bir hedef
SSL-VPN ürünleri, sofistike bilgisayar korsanları için giderek daha popüler bir hedef haline geldi.
Tenable’ın kıdemli personel mühendisi Satnam Narang, e-posta yoluyla, “Geçtiğimiz beş yılda, Citrix, Pulse Secure ve Fortinet gibi SSL-VPN ürünlerinde sürekli bir güvenlik açığı eğilimi oldu” dedi.
“Bu kusurlar yalnızca fidye yazılımı grupları tarafından değil, aynı zamanda özellikle Fortinet cihazlarındaki kusurlara odaklanan ulus-devlet bağlantılı tehdit aktörleri tarafından da istismar edildi” dedi.
Rapid7 araştırmacıları, 210.700’den fazla Fortigate cihazı internete açık SSL-VPN bileşeni ile. Çoğunluk ABD’de bulunuyor ve Japonya ve Tayvan daha küçük pazarları temsil ediyor.
Yeni uyarılar, Fortinet’in ABD’nin kritik altyapısına yönelik devlet destekli Volt Typhoon saldırılarıyla bağlantılı olmasından sadece haftalar sonra geldi. ABD’li yetkililer ve araştırmacılar, devlet bağlantılı aktörlerin ABD ile Çin arasındaki artan gerilim ortamında ABD’nin Asya ile olan iletişimini eninde sonunda kesmeye çalışıyor olabileceği konusunda uyarıyor.
Volt Typhoon saldırıları Fortinet FortiGuard cihazlarını kötüye kullanma şirketlere erişmek ve ev ağı ekipmanından yararlanmak için. Saldırılar doğrudan bağlantılı olmasa da Fortinet, yama uygulanmayan güvenlik açıklarından yararlanmaya devam edecek kötü niyetli aktörler olduğu konusunda uyardı.
Tenable’da personel araştırma mühendisi olan Scott Caveza, Volt Typhoon ile bilinen bir bağlantı olmasa da grubun bir CVE-2022-40684 olan CVE-2022-40684’ü kullandığının bilindiğini söyledi. Fortinet’te kritik kimlik doğrulama atlaması bu, Ekim 2022’de yamalandı.