Geçtiğimiz hafta CISA, yama yapılmamış Fortinet FortiGate güvenlik duvarlarında kimlik doğrulaması yapılmadan uzaktan kod/komut yürütülmesine izin veren kritik bir güvenlik açığı olan CVE-2024-23113’ü Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve böylece bunun vahşi ortamda saldırganlar tarafından kullanıldığını doğruladı.
Shadowserver Vakfı Pazar günü yaptığı paylaşımda, hala internete bağlı 87.000’den fazla Fortinet cihazının bu kusura karşı savunmasız olduğunu belirtti.
CVE-2024-23113 Hakkında
FortiOS FGFM (FortiGate’den FortiManager’a) arka plan programını etkileyen ve özel hazırlanmış istekler aracılığıyla tetiklenebilen bir format dizesi güvenlik açığı olan CVE-2024-23113, Fortinet Ürün Güvenliği ekibinden Gwendal Guégniaud tarafından keşfedilip bildirildi ve Şubat 2024’ün başlarında FortiOS’ta yamalandı. 7.4.3, 7.2.7 ve 7.0.14 sürümleri.
O tarihten bu yana Fortinet’in uyarısı, etkilenen diğer ürünleri doğrulayacak ve FGFM erişiminin kaldırılmasını da içeren bir etki azaltma önlemini paylaşacak şekilde değiştirildi.
“Bunun FortiManager’dan FortiGate keşfini önleyeceğini unutmayın [a solution for managing Fortinet products]. Şirket, FortiGate’ten bağlantının hala mümkün olacağı uyarısında bulundu.
“Ayrıca, yalnızca belirli bir IP’den FGFM bağlantılarına izin veren bir yerel politikanın saldırı yüzeyini azaltacağını ancak güvenlik açığının bu IP’den yararlanılmasını engellemeyeceğini lütfen unutmayın. Sonuç olarak bu, tam bir geçici çözüm olarak değil, hafifletme olarak kullanılmalıdır.”
Bu güvenlik açığı o dönemde siber güvenlik camiasının pek ilgisini çekmemişti ancak artık tehdit aktörlerinin gözünden kaçmadığı aşikar.
Maalesef saldırılarla ilgili ayrıntılar hâlâ gizli ve bu açıktan siber casusluk için mi yoksa fidye yazılımı dağıtımı için mi yararlanıldığını bilmiyoruz.
WatchTowr Labs, Pazartesi günü güvenlik açığına ilişkin analizlerini yayınladı ve çeşitli cihaz yazılımı sürümlerinin inceleme girişimlerine farklı tepki vermesi nedeniyle, bu güvenlik açığının varlığını test etmek için oluşturdukları bir araçtan yararlanırken karşılaştıkları zorlukları paylaştı.
“Görünüşe göre Fortinet 7.4 serisine bir tür sertifika doğrulama mantığı eklemiş, bu da bir cihaz yöneticisi tarafından açıkça izin verilmeden ona bağlanamayacağımız (veri yükümüzü göndermek şöyle dursun) bile olamayacağımız anlamına geliyor. Ayrıca 7.0 şubesini de kontrol ettik ve burada bazı şeyleri daha da ilginç bulduk; yama uygulanmamış bir örnek, kendinden imzalı bir sertifikayla bağlanmamıza izin verirken, yama uygulanmış bir makine, yapılandırılmış bir CA tarafından imzalanmış bir sertifika gerektirir.” watchTowr Labs araştırmacısı Aliz Hammond açıkladı.
“Bazı geri dönüşler yaptık ve sertifikanın, cihazın yöneticisi tarafından açıkça yapılandırılması gerektiğine karar verdik; bu da, bu makinelerin kullanımını, (cihazda zaten süper kullanıcı izinlerine sahip olan) FortiManager örneğinin yönetimiyle veya yüksek güvenlikli bir sistemin diğer bileşeniyle sınırlandırıyor. kullanılabilirlik çifti.
Kurumsal yöneticilere etkilenen cihazları düzeltmeyi içeren bir sürüme yükseltmeleri ve güvenlik araştırmacısı Kevin Beaumont’a göre aynı bileşeni (örn. FGFM) etkileyen açıklanmayan bir kusuru düzelten FortiManager yamalarını takip etmeleri tavsiye ediliyor.