Fortinet bugün, CVE-2024-47575 olarak takip edilen ve yönetilen cihazlar için yapılandırmaları, IP adreslerini ve kimlik bilgilerini içeren hassas dosyaları çalmak amacıyla sıfır gün saldırılarında kullanılan kritik bir FortiManager API güvenlik açığını kamuoyuna açıkladı.
Şirket, 13 Ekim’den itibaren FortiManager müşterilerini, BleepingComputer tarafından görülen ve bir güvenlik güncellemesi yayınlanana kadar kusuru hafifletmeye yönelik adımları içeren gelişmiş bildirim e-postalarında kusur konusunda özel olarak uyardı.
Ancak bu güvenlik açığına ilişkin haberler hafta boyunca Reddit’teki müşteriler ve bu kusuru “FortiJump” olarak adlandıran Mastodon’daki siber güvenlik araştırmacısı Kevin Beaumont tarafından çevrimiçi olarak sızmaya başladı.
Fortinet cihaz yöneticileri de bu kusurun bir süredir istismar edildiğini, bir müşterinin bildirimlerin müşterilere gönderilmesinden haftalar önce saldırıya uğradığını bildirdiğini paylaştı.
Reddit’te artık silinmiş olan bir yorumda, “‘Ön bildirimler’e gelmeden bir hafta önce – sanırım 0 gün içinde bu konuda ihlale uğradık” yazıyor.
FortiManager’ın sıfır günü açıklandı
Bugün Fortinet, CVE-2024-47575 olarak takip edilen ve 10 üzerinden 9,8 ciddiyet derecesine sahip, aktif olarak yararlanılan kritik FortiManager kusurunu kamuya açıkladı.
“Kritik işlev güvenlik açığı için eksik bir kimlik doğrulama [CWE-306] FortiManager’daki fgfmd arka plan programı, kimliği doğrulanmamış uzaktaki bir saldırganın, özel hazırlanmış istekler yoluyla rastgele kod veya komutlar yürütmesine izin verebilir”, diyor Fortinet’in FG-IR-24-423 güvenlik tavsiyesi.
“Raporlar bu güvenlik açığının vahşi ortamda istismar edildiğini gösterdi.”
Saldırılara aşina olan bir kaynak, BleepingComputer’a, tavsiye niteliğindeki hatadan yararlanmak için bazı kritik bilgilerin eksik olduğunu söyledi: Tehdit aktörlerinin öncelikle, FortiManager VM de dahil olmak üzere sahip olunan veya güvenliği ihlal edilen herhangi bir Fortinet cihazından geçerli bir sertifika alması gerekiyor.
Kusur, FortiManager’ın 7.6.0, 7.4.0 – 7.4.4 7.2.0 – 7.2.7, 7.0.0 – 7.0.12, 6.4.0 – 6.4.14 ve 6.2.0 – 6.2.12 arasındaki sürümlerini etkiliyor. Kusur, FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13, 6.4.15 ve 6.2.13 veya daha yeni sürümlerde düzeltildi.
Şu anda yalnızca FortiManager 7.2.8 ve 7.4.5 sürümleri yayınlandı ancak BleepingComputer, geri kalanların önümüzdeki günlerde yayınlanacağını öğrendi.
Müşteriler ayrıca Reddit’te Fortinet teknik yardım merkezinin (TAC), kusurun FortiManager Cloud’u (FMG Cloud) da etkilediğini söylediğini ancak bunun danışma belgesinde paylaşılmadığını bildirdi.
Fortinet, şirketlerin FortiGate güvenlik duvarı cihazlarını kolayca dağıtmalarına ve merkezi bir konumdan yönetilebilmeleri için uzak bir FortiManager sunucusuna kaydolmalarına olanak sağlamak için “FortiGate’den FortiManager Protokolü”nü (FGFM) oluşturdu.
FGFM protokolü hakkındaki belgelerde “FortiGate’den FortiManager’a (FGFM) protokolü, özellikle NAT’ın kullanıldığı FortiGate ve FortiManager dağıtım senaryoları için tasarlanmıştır” ifadesi yer alıyor.
“Bu senaryolar arasında FortiManager’ın genel internet üzerinde, FortiGate biriminin NAT’ın arkasında olması, FortiGate biriminin genel internette iken FortiManager’ın NAT’ın arkasında olması veya hem FortiManager hem de FortiGate biriminin yönlendirilebilir IP adresleri olması yer alır.”
Siber güvenlik araştırmacısı Kevin Beaumont’un da belirttiği gibi, bir saldırganın geçerli bir sertifika aldığı sürece bir FortiGate cihazını açıktaki bir FortiManager sunucusuna kaydetmesi zor değil.
Bu sertifika, her iki cihazın kimliğini doğrulamak amacıyla FortiGate ile FortiManager sunucusu arasında bir SSL tüneli kurmak için kullanılır. Ancak güvenlik açığına aşina olan bir kaynak BleepingComputer’a, güvenlik açığının burada yer almadığını söyledi.
Bunun yerine, FortiManager FGFM API aracılığıyla komutları yürütmek için CVE-2024-47575 kusuru kullanılarak atlanabilecek ek bir yetkilendirme düzeyi gerekir.
Bu API, saldırganların komutları yürütmesine, bilgi almasına, yönetilen cihazlar üzerinde tam kontrol sahibi olmasına ve FortiManager’ın kurumsal ağlara daha fazla erişmesine olanak tanır.
Beaumont, “MSP’ler (Yönetilen Hizmet Sağlayıcılar) sıklıkla FortiManager kullandığından, bunu dahili ağlara alt yönde girmek için kullanabilirsiniz” diye uyardı.
“FGFM’nin tasarlanma şekli nedeniyle – NAT geçiş durumları – bu aynı zamanda, yönetilen bir FortiGate güvenlik duvarına erişim kazanırsanız, daha sonra yönetici FortiManager cihazına geçiş yapabileceğiniz ve ardından diğer güvenlik duvarlarına ve ağlara geri dönebileceğiniz anlamına da gelir.”
Fortinet, en son ürün yazılımı güncellemesini şu anda yüklemenin mümkün olmadığı durumlarda bu saldırıyı azaltmak için farklı yollar sunuyor:
- Bilinmeyen seri numarasına sahip cihazların FortiManager’a kaydolmasını önlemek için set fgfm-deny-unknown etkinleştirme komutunu kullanın.
- SSL tüneli oluştururken ve FortiGate cihazlarının kimliğini FortiManager ile doğrularken kullanmak için özel bir sertifika oluşturun.
Ancak Fortinet, bir tehdit aktörünün bu sertifikayı alması halinde bunun yine de FortiGate cihazlarına bağlanmak ve kusurdan yararlanmak için kullanılabileceği konusunda uyarıyor.
- Bağlanmasına izin verilen FortiGate cihazları için izin verilen bir IP adresleri listesi oluşturun.
Bu azaltımların nasıl gerçekleştirileceğine ve güvenliği ihlal edilmiş sunucuların nasıl geri yükleneceğine ilişkin talimatlar Fortinet’in danışma belgesinde bulunabilir.
Veri çalmak için kullanıldı
Fortinet, gözlemlenen saldırıların FortiManager sunucusundan “yönetilen cihazların IP’lerini, kimlik bilgilerini ve yapılandırmalarını içeren” çeşitli dosyaları çalmak için kullanıldığını söylüyor.
Çalınan bu bilgiler, kurumsal ağlara veya MSP’lerin alt istemcilerine ilk erişim elde etmek amacıyla FortiGate cihazları hakkında bilgi edinmek ve bunları hedeflemek için kullanılabilir.
Şirket ayrıca, ele geçirilen FortiManager hizmetlerine veya yönetilen FortiGate cihazlarındaki yapılandırma değişikliklerine kötü amaçlı yazılım yüklendiğine dair hiçbir kanıt bulunmadığını da doğruladı.
Fortinet, güvenlik tavsiyesinde “Bu aşamada, ele geçirilen bu FortiManager sistemlerine herhangi bir düşük seviyeli kötü amaçlı yazılım veya arka kapı kurulumuna ilişkin rapor almadık” dedi.
“Bildiğimiz kadarıyla, veritabanlarının değiştirildiğine veya yönetilen cihazlara bağlantı veya değişiklik yapıldığına dair herhangi bir gösterge bulunmuyor.”
Fortinet, saldırıları herhangi bir tehdit aktörüne bağlamadı ve devam eden soruşturma nedeniyle etkilenen müşterilerin sayısı ve türü hakkında herhangi bir bilgi paylaşmıyor.
Ancak Fortinet, güvenlik profesyonellerinin ve ağ yöneticilerinin FortiManager sunucularının bu güvenlik açığı kullanılarak ihlal edilip edilmediğini tespit etmelerine yardımcı olmak için aşağıdaki IOC’leri paylaştı.
Gözlemlenen saldırılar, tehdit aktörlerinin, saldırgan kontrolündeki FortiGate cihazlarını “localhost” adı altında kaydettirdiğini gösteriyor.
Günlük girişleri, tehdit aktörlerinin bu kayıtlı olmayan “localhost” cihazlarını eklemek için API komutları verdiğini gösterecektir:
type=event,subtype=dvm,pri=information,desc="Device,manager,generic,information,log",user="device,...",msg="Unregistered device localhost add succeeded" device="localhost" adom="FortiManager" session_id=0 operation="Add device" performed_on="localhost" changes="Unregistered device localhost add succeeded"
Fortinet tarafından paylaşılan başka bir günlük girişi, cihaz ayarlarını düzenlemek için kullanıldı:
type=event,subtype=dvm,pri=notice,desc="Device,Manager,dvm,log,at,notice,level",user="System",userfrom="",msg="" adom="root" session_id=0 opera,on="Modify device" performed_on="localhost" changes="Edited device settings (SN FMG-VMTM23017412)"
Fortinet, sahte FortiGate cihazlarının, FortiGate-VM sanal makineleri tarafından kullanılan format gibi görünen FMG-VMTM23017412 seri numarasını kullanarak görüldüğünü söylüyor.
Diğer IOC’ler arasında /tmp/.tm ve /var/tmp/.tm dosyalarının oluşturulması yer alır.
Saldırılarda tümü bulut barındırma şirketi Vultr’da bulunan aşağıdaki IP adresleri gözlemlendi:
- 45.32.41.202
- 104.238.141.143 (Yakın zamanda SuperShell C2 altyapısını barındırırken görüldü)
- 158.247.199.37
- 45.32.63.2
SuperShell C2 çerçevesi yakın zamanda UNC5174 olarak bilinen Çinli (PRC) bir tehdit aktörüne orta derecede güvenle atfedilen F5 BIG-IP yönlendiricilerine yönelik saldırılarda kullanıldı.
Fortinet, istismar edilen cihazlarda tüm IOC’lerin bulunmayabileceği konusunda uyarıyor.
Özel bilgilerin ifşa edilmesi hüsrana yol açıyor
Fortinet, CVE-2024-47575 kusuru ve bunun müşterilere nasıl açıklandığı hakkında BleepingComputer ile aşağıdaki açıklamayı paylaştı.
“Bu güvenlik açığının (CVE-2024-47575) belirlenmesinin ardından Fortinet, kritik bilgileri ve kaynakları anında müşterilere iletti. Bu, bir tavsiye niteliğindeki bilginin kamuya açıklanması öncesinde müşterilerin güvenlik duruşlarını güçlendirmelerine olanak tanıyan sorumlu açıklama süreçlerimiz ve en iyi uygulamalarımızla uyumludur. Tehdit aktörleri de dahil olmak üzere daha geniş bir kitleye sunuldu. Ayrıca, geçici çözüm ve yama güncellemeleri de dahil olmak üzere, hafifletme kılavuzunu yineleyen ilgili bir kamu danışma belgesi (FG-IR-24-423) yayınladık. Devam eden yanıtımızın bir parçası olarak uygun uluslararası devlet kurumları ve sektörel tehdit kuruluşlarıyla koordinasyon sağlamaya devam ediyoruz.”
❖Fortinet.
Ancak Fortinet müşterileri, bazı FortiManager müşterilerinin önceden bildirim alamamaları ve sıfırıncı gün güvenlik açığı hakkında bilgi edinmek için sızdırılan bilgilere güvenmek zorunda kalmaları nedeniyle güvenlik açığının ifşa edilmesinden duydukları hayal kırıklığını dile getirdi.
Bir FortiManager müşterisi Reddit’te “Özel açıklama e-posta listesine nasıl girebilirim? 7.2.7’ye sahibim ve bunu duymadım” dedi.
BleepingComputer’a, tüm FortiManager müşterilerinin bu bildirimi “Ana” hesaplarına almış olmaları gerektiği söylendi. Aksi takdirde doğru iletişim bilgilerine sahip olduklarını doğrulamak için Fortinet veya bayileriyle iletişime geçmeleri gerekir.
Diğerleri, özel danışma belgesinin FortiManager Cloud’u sıfır günden etkilendiğini belirtmemesinden dolayı hayal kırıklığına uğradılar, ancak Fortinet TAC’yi aradıklarında kendilerine bunun etkilendiği söylendi.
Bu kusur, Fortinet’in kritik bir güvenlik açığını sessizce yamalamaya veya bunu müşterilere özel olarak açıklamaya karar vermesinin ilk örneği değil.
Aralık 2022’de Fortinet, CVE-2022-42475 olarak takip edilen ve aktif olarak yararlanılan bir FortiOS SSL-VPN güvenlik açığını, bu kusurun saldırılarda kullanıldığını kamuoyuna belirtmeden sessizce yamaladı. Bu FortiManager hatası gibi Fortinet de 7 Aralık’ta müşterilere özel bir TLP:Amber uyarısı yayınlayarak müşterileri hata konusunda uyardı.
Haziran 2023’te Fortinet, 8 Haziran’da CVE-2023-27997 olarak takip edilen kritik bir FortiGate SSL-VPN uzaktan kod yürütme güvenlik açığını yeniden sessizce yamaladı. Dört gün sonra, 11 Haziran’da şirket, bu kusurun sıfırıncı günde kullanıldığını açıkladı. Hükümete, üretime ve kritik altyapıya yönelik saldırılar.
Bazıları, Fortinet’in Ekim 2023’teki bir gönderisini hatırlatarak Fortinet’in şeffaflık eksikliğine dikkat çekti: “Güvenlik topluluğu, düşmanlara karşı mücadelelerini kolektif olarak ilerletmek için kuruluşlar için şeffaflığı ve bilgi paylaşımını normalleştirmelidir.”