Güncelleme 2/11/25 07:32 ET: Hikayemizi yayınladıktan sonra Fortinet, bugün FG-IR-24-535’e eklenen yeni CVE-2025-24472 kusurunun sıfır gün olmadığını ve Ocak ayında zaten düzeltildiğini bize bildirdi.
Ayrıca, bugünün güncellenmiş danışmanlığı her iki kusurun da saldırılarda kullanıldığını ve hatta yeni CSF proxy isteği sömürü yolu için bir çözüm içerdiğini gösterse de Fortinet, sadece CVE-2024-55591’in kullanıldığını söylüyor.
Fortinet, BleepingComputer’a bir müşterinin daha önce FG-IR-24-535 / CVE-2024-55591’deki rehberliğe dayanarak yükseltilmesi durumunda, yeni açıklanan güvenlik açığına karşı zaten korunduklarını söyledi.
Hikayemizin başlığı bu yeni bilgileri yansıtacak şekilde güncellendi ve orijinal makalemiz aşağıda.
Fortinet bugün saldırganların Fortinet güvenlik duvarlarını ve ihlalini ihlal etmek için Fortios ve Fortiproxy’de şimdi patched bir başka sıfır gün hatasını kullandıkları konusunda uyardı.
Bu kimlik doğrulama bypass güvenlik açığının başarılı bir şekilde kullanılması (CVE-2025-24472), uzak saldırganların kötü niyetli olarak hazırlanmış CSF proxy istekleri yaparak süper admin ayrıcalıkları kazanmalarını sağlar.
Güvenlik kusuru Fortios 7.0.0 ila 7.0.16, Fortiproxy 7.0.0 ila 7.0.19 ve Fortiproxy 7.2.0 ila 7.2.12 etkiler. Fortinet bunu Fortios 7.0.17 veya üstünde ve Fortiproxy 7.0.20/7.2.13 veya üstünde sabitledi.
Fortinet, geçen ay yapılan bir güvenlik danışmanlığına yeni bir CVE-ID olarak ekledi, müşterilere tehdit aktörlerinin aynı yazılım sürümlerini etkileyen Fortios ve Fortiproxy’de (CVE-2024-55591 olarak izlendiği) sıfır gün güvenlik açığından yararlandıklarını söyledi. Bununla birlikte, şimdi sabitlenmiş CVE-2024-55591 kusuru, Node.js WebSocket modülüne kötü amaçlı istekler gönderilerek kullanılabilir.
Fortinet’e göre, saldırganlar etkilenen cihazlarda rastgele yönetici veya yerel kullanıcılar oluşturmak için iki güvenlik açıkından yararlanarak bunları yeni ve mevcut SSL VPN kullanıcı gruplarına ekliyor. Ayrıca güvenlik duvarı politikalarını ve diğer yapılandırmaları değiştirme ve daha önce kurulmuş haydut hesaplarla SSLVPN örneklerine erişme “dahili ağa bir tünel kazanmak için”.
Fortinet kampanya hakkında ek bilgi vermese de, siber güvenlik şirketi Arctic Wolf, en azından Kasım ortalarından beri internete maruz kalan yönetim arayüzlerine sahip savunmasız Fortinet Fortigate güvenlik duvarlarının saldırıya uğradığını söyledi.
Arctic Wolf Labs, “Kampanya, güvenlik duvarlarının yönetim arayüzleri, yeni hesapların oluşturulması, bu hesaplar aracılığıyla SSL VPN kimlik doğrulaması ve diğer çeşitli yapılandırma değişikliklerinde yetkisiz yönetim girişleri içeriyordu.” Dedi.
“İlk erişim vektörü kesin olarak doğrulanmasa da, sıfır gün güvenlik açığı oldukça muhtemeldir. Kuruluşlar, kamu arayüzlerinde güvenlik duvarı yönetim erişimini mümkün olan en kısa sürede acilen devre dışı bırakmalıdır.”
Arctic Wolf Labs ayrıca dört benzersiz aşama içerdiğini söyleyerek CVE-2024-55591 kütle kovma saldırıları için bu zaman çizelgesini de sağladı:
- Güvenlik Açığı Taraması (16 Kasım 2024 – 23 Kasım 2024)
- Keşif (22 Kasım 2024 – 27 Kasım 2024)
- SSL VPN Yapılandırması (4 Aralık 2024 – 7 Aralık 2024)
- Yanal Hareket (16 Aralık 2024 – 27 Aralık 2024)
“Müdahale ve müdahaleler arasındaki altyapıdaki ince farklılıklar göz önüne alındığında, bu kampanyaya birden fazla birey veya grubun dahil olması mümkündür, ancak JSConsole kullanımı yönetim kurulu genelinde ortak bir konudur.”
Arctic Wolf Labs, Fortinet’e 12 Aralık’taki saldırılar hakkında bilgi verdiğini ve beş gün sonra şirketin Ürün Güvenliği Olay Müdahale Ekibi’nden (PSIRT) faaliyetin bilindiğini ve zaten soruşturma altında olduğunu söyledi.
Fortinet, HTTP/HTTPS yönetim arayüzünü devre dışı bırakmak veya yerel politikalar aracılığıyla geçici bir çözüm olarak ulaşabilecek IP adreslerini sınırlamak için savunmasız güvenlik duvarlarını güvence altına almak için güvenlik güncellemelerini hemen dağıtamayan yöneticilere tavsiyelerde bulundu.
BleepingComputer yorum için bir Fortinet sözcüsüne ulaştı, ancak yayın zamanında duymadı.