Dalış Özeti:
- Güvenlik araştırmacıları ve federal yetkililere göre saldırganlar, Fortinet’in ağ ve güvenlik yönetimi aracı FortiManager’daki kritik bir sıfır gün güvenlik açığından aktif olarak yararlanıyor. İlk sömürü 27 Haziran’da gerçekleşti ve Çeşitli sektörlerden en az 50 kuruluş etkilendi Mandiant, Çarşamba günkü bir blog yazısında bugüne kadar bunu söyledi.
- Fortinet, aktif olarak istismar edildiğini açıkladı CVE-2024-47575CVSS puanı 9,8 olan güvenlik danışmanlığı Çarşamba. Saatler sonra Siber Güvenlik ve Altyapı Güvenliği Ajansı CVE’yi ekledi bilinen istismar edilen güvenlik açıkları kataloğuna. Fortinet, kaç müşterinin etkilendiğini veya CVE-2024-47575’ten ve aktif istismardan ne zaman haberdar olduğunu söylemedi.
- Mandiant Consulting CTO’su Charles Carmakal Çarşamba günü yaptığı açıklamada, “Şu ana kadar gözlemlenen sömürü doğası gereği otomatik görünüyor ve birden fazla kurban arasında aynı” dedi. LinkedIn’de yayınla. “Ancak çoğu kitlesel sömürü kampanyasında, bazı mağdurlara yönelik hedefli takip faaliyetleri sıklıkla gözlemliyoruz.”
Dalış Bilgisi:
Kritik işlev güvenlik açığı nedeniyle FortiManager eksik kimlik doğrulamasından yararlanılması, kimliği doğrulanmamış uzak bir saldırganın rastgele kod veya komutlar yürütmesine olanak tanıyabilir. Fortinet, saldırıların, kötüye kullanılan FortiManager cihazları tarafından yönetilen FortiGate cihazlarının IP’leri, kimlik bilgileri ve yapılandırma verileri dahil olmak üzere veri hırsızlığını içerdiğini söyledi.
Bu saldırı dizisi, birkaç hafta içinde Fortinet ürünleriyle ilgili olarak aktif olarak istismar edilen ikinci kritik güvenlik açığını işaret ediyor. Bu ayın başlarında federal yetkililer ve güvenlik araştırmacıları savunucuları şu konularda uyardı: CVE-2024-23113aktif olarak sömürülen bir Dört Fortinet ürününde kritik format dizesi güvenlik açığı.
Bu ayın başlarında kötü niyetli faaliyetlerin kapsamını araştırmak için Fortinet ile işbirliği yapmaya başlayan Mandiant, saldırıların serisini “toplu istismar” olayı olarak tanımladı. Saldırıların arkasındaki tehdit grubunun motivasyonu ve kökeni bilinmiyor.
Olay müdahale ve tehdit istihbarat firması, çalınan verilerin FortiManager’ı daha da tehlikeye atmak ve daha geniş kurumsal ortama yanal harekete izin vermek için kullanılabileceği konusunda uyarıyor.
Kurumsal ağlardaki açıklardan yararlanmalar ve bunun sonucunda ortaya çıkan açığa çıkmalar, birden fazla satıcının güvenlik donanımındaki güvenlik açıklarını hedef alan bir başka saldırı dizisini temsil ediyor. Finansal motivasyona sahip ve ulus devlet bağlantılı saldırganlar, tarafından satılan ağ uç cihazlarındaki güvenlik açıklarından geniş ölçüde yararlandı. Baraküda, Citrix, Fortinet, İvanti, Palo Alto Ağları Ve SonicWall son birkaç yıldır.
Bir şirket sözcüsü, Fortinet’in güvenlik açığını tespit ettikten sonra müşterileriyle derhal iletişime geçtiğini söyledi. Sözcü, “Bu, tehdit aktörleri de dahil olmak üzere daha geniş bir kitleye bir tavsiye niteliğindeki belgenin kamuya açıklanması öncesinde müşterilerin güvenlik duruşlarını güçlendirmelerine olanak tanıyan sorumlu ifşaat süreçlerimiz ve en iyi uygulamalarımızla uyumludur” dedi.
Fortinet, müşterilere güvenlik açığını yazılım güncellemeleri ve paylaşılan risk göstergeleri ve hafifletme adımları aracılığıyla düzeltmelerini tavsiye etti. FortiManager ve FortiManager Cloud’un birden fazla sürümü etkilendi.
Fortinet, danışma belgesinde “Bu aşamada, ele geçirilen FortiManager sistemlerine herhangi bir düşük seviyeli kötü amaçlı yazılım veya arka kapı kurulumuna ilişkin rapor almadık” dedi. “Bildiğimiz kadarıyla, veritabanlarının değiştirildiğine veya yönetilen cihazlara bağlantı veya değişiklik yapıldığına dair herhangi bir gösterge bulunmuyor.”