Fortinet ve Ivanti’nin VPN müşterileri, ilgili satıcıların teknolojilerindeki büyük güvenlik açıklarına sürekli müdahale etme zorunluluğundan herhangi bir şekilde kurtulamıyor gibi görünüyor.
8 Şubat Perşembe günü, her iki satıcı da ürün serilerinde, hali hazırda aktif olarak istismar edilen, yakın zamanda yamalanmış hatalarla uğraşan güvenlik ekiplerinin derhal harekete geçmesini gerektiren kritik kusurları açıkladı.
Fortinet’in 4 Yeni Kusuru Arasında Aktif Olarak Kullanılan Hata
Fortinet kritik bir sınır dışı güvenlik açığını ortaya çıkardı Satıcının uyardığı FortiOS SSL VPN teknolojisinin halihazırda kullanımda olması muhtemeldir. Olarak tanımlanan güvenlik açığı CVE-2024-21762kimliği doğrulanmamış bir saldırganın, kötü amaçla hazırlanmış HTTP istekleri aracılığıyla etkilenen sistemlerde rastgele kod veya komutlar yürütmesine olanak tanır.
Güvenlik açığı, FortiOS 6.0’dan (tüm sürümler) FortiOS 7.4.2’ye kadar birden fazla FortiOS sürümünü etkiliyor. Fortinet, bu güvenlik açığına 10 üzerinden 9,6 CVSS puanı verdi.
CVE-2024-21762 aslında Fortinet’in Perşembe günü açıkladığı dört kusurdan biri. Diğer üçü CVE-2024-23113FortiOS 7.0, 7.2 ve 7.4’ün birden fazla sürümünde neredeyse maksimum şiddette (CVSS puanı 9.8) format dize hatası; CVE-2023-44487orta şiddette bir kusur FortiOS ve FortiProxy; Ve CVE-2023-47537başka bir orta şiddette bilgi ifşası FortiOS’ta hata. Fortinet’e göre bunların hiçbiri şu anda istismar altında değil; ancak bu durum hızla değişebilir.
Yeni hata açıklamaları, pek çok kuruluşun yama yapmak için acele ettiği bir dönemde bile geliyor iki maksimum önem derecesine sahip komut ekleme hatası Fortinet’in FortiSIEM’inde (CVE-2024-23108 Ve CVE-2024-23109) şirketin Şubat ayının başlarında açıkladığı. Fortinet, iki hatayı geçen yıl yayınladığı güvenlik açığı uyarı belgesinin güncellemesi olarak açıkladı (CVE-2023-34992), üç kusur arasındaki bağlantı konusunda birçok kişinin kafasını karıştırdı. En az bir güvenlik firmasına göre Fortinet’in bu ay duyurduğu iki yeni güvenlik açığı aslında geçen yılın CVE-2023-34992’sinin doğrudan atlanması.
Bağlam itibarıyla Fortinet VPNS, özellikle ulus devlet türündeki saldırganların favori hedefidir. Bunlardan biri, ABD hükümetinin yakın zamanda ABD’nin kritik altyapısını hedef aldığı konusunda uyardığı Çin destekli aktör Volt Typhoon’dur. Fortinet’e göretehdit aktörü, ürünlerindeki iki kusurdan yararlanıyor; biri 2022’den (CVE-2022-42475) ve diğeri 2023’ten (CVE-2023-27997) — kampanyasında.
Ayrıca, daha geçen hafta, Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD), Çinli aktörlerin 2022 CVE’yi kullanarak Elbise Askısı adlı bir RAT’ı bırakın birden fazla FortiGate cihazında.
Ve geçen hafta bir blogda, savunulabilir Fortinet ürünlerinde fidye yazılımı aktörlerinin ve İran ve Rusya’daki kalıcı tehdit gruplarının son yıllarda istismar ettiği diğer birçok güvenlik açığını listeledi.
Ivanti Connect Secure ve Pulse Secure’da Bir Hata Daha Görüyor
Bu arada Ivanti, sık sık hedef aldığı Ivanti Connect Secure ve Ivanti Pulse Secure teknolojilerinde kritik bir güvenlik açığını (CVE-2024-22024) açıklayarak ve bunun için bir yama yayınlayarak müşterilerine daha fazla çalışma ve endişe nedeni sağladı.
Şirket kusuru anlattı (CVSS puanı 8,3), kimliği doğrulanmamış bir saldırganın etkilenen sistemlerdeki belirli kısıtlı kaynaklara erişmesine izin veren bir XML harici varlık (XXE) sorunu olarak. Saldırganların aktif olarak hataya saldırdığına dair bir kanıt olmamasına rağmen müşterilerin sorunu derhal ele almaları konusunda çağrıda bulunuldu.
Başlangıçta Ivanti, hatanın keşfini şirket içi araştırmacılara bağladı. Ancak Singapur merkezli olduktan sonra watchTowr bir blog yayınladı Ivanti, hatayı nasıl keşfettiğini ve Ivanti’ye bildirdiğini, iletişimlerinin ekran görüntüleri ile birlikte açıklayarak, orijinal iddiasından geri adım attı.
Bir sözcü, “İlk olarak dahili incelememiz sırasında söz konusu kodu işaretledik” dedi. “Kısa bir süre sonra watchTowr, CVE-2024-22024 ile ilgili sorumlu açıklama programımız aracılığıyla bizimle iletişime geçti; bunu kabul etmemiz gerekirdi.”
Sözcü, watchTowr’a yardımlarından dolayı teşekkür etti ve Ivanti’nin blogunu bu gerçeği yansıtacak şekilde güncellediğini söyledi. Ancak sözcü, bazı güvenlik araştırmacılarının bu konudaki iddialarını reddediyor. Saldırganlar aktif olarak suistimal ediyor Zaten hata var ve Ivanti’nin şu ana kadar bu iddiayı destekleyecek hiçbir kanıt görmediğini söylüyor.
Fortinet’in müşterileri gibi Ivanti’nin de açıklaması, müşterilerinin birçoğunun, şirketin birkaç hafta önce tehdit gruplarının saldırıya uğradığını açıkladığı birkaç sıfır gün güvenlik açığıyla meşgul olmasına rağmen geldi. büyük bir şiddetle saldırıyor son zamanlarda. Ivanti, hataların ortaya çıkmasından haftalar sonra, Ocak ayı sonlarında kusurlar için yamaları aşamalı olarak dağıtmaya başladı ve yama kullanılabilirliğindeki gecikme toplu sömürü girişimlerini teşvik etti.
Önceki iki sıfır gün boyunca yamaları uygulayan müşteriler (CVE-2024-21887 ve CVE-2023-46805Ivanti, yeni kusur için yamayı uyguladıktan sonra cihazlarını yeniden sıfırlamalarına gerek olmadığını söyledi. Şirket, alternatif olarak sıfır güne karşı yama yapmamış müşterilerin yeni hata için yamayı uygulayabileceğini ve aynı zamanda önceki ikisine karşı da korunabileceğini belirtti.