490.000 SSL VPN arayüzünün şaşırtıcı bir sayısıyla, savunmasız ve internette kolayca erişilebilir, aciliyet ortaya çıkıyor.
Fortinet ürünlerinde güvenlik açıkları hiçbir zaman eksik olmadı, bu yüzden siber suçlular onları kazançlı saldırı vektörleri olarak görüyor.
Son keşif, Fortinet kullanıcılarının sıkıntılarını artırıyor çünkü Bishop Fox güvenlik araştırmacıları, Shodan tarafından taranan toplam 490.000 halka açık internete maruz kalan Fortinet FortiOS ve FortiProxy SSL-VPN arayüzünden %69’unun tehlikeli bir RCE’ye (uzaktan kod yürütme) karşı savunmasız olduğunu bildirdi. ) güvenlik açığı (CVE-2023-27997).
Bu, yaklaşık 330.000 Fortinet FortiGate güvenlik duvarının yamasız olduğu ve bu kusura karşı savunmasız olduğu anlamına gelir.
Kusurun Keşfi
Bishop Fox araştırmacıları, cihazların yalnızca 153.414’ünün FortinetOS sürümüyle yamandığını öğrendi. Hepsi bu değil. Araştırmacılar ayrıca, halka açık çoğu Fortinet cihazının son sekiz yılda yama uygulanmadığını ve FortiOS 5 ve 6 sürümlerini çalıştırdığını keşfetti.
İnternette yalnızca 153.414 cihaz yamalanırsa, 335.923 – 489.337 – 69 cihaz yamasız kalır. Araştırmacılar, 30 Haziran 2023’te yayınlanan raporlarında bunun kesinlikle endişe verici olduğunu yazdı.
Bishop Fox’taki Yetenek Geliştirme ekibi, CVE-2023-27997 için bir güvenlik açığı oluşturduktan ve Cosmos müşterilerini test etmeye devam ettikten sonra bu keşfi yaptı. İstismar, yığını kolayca parçaladı, saldırganın C2 sunucusuna bağlandı, bir BusyBox ikili dosyası indirdi ve etkileşimli bir kabuk açtı.
CVE-2023-27997 nedir?
Bilgin olsun, 10 üzerinden 9,8 CVSS puanına sahip CVE-2023-27997, Fortinet cihazlarını etkileyen ve vahşi ortamda aktif olarak istismar edilen kritik bir güvenlik açığıdır. Bu kusur, 11 Haziran’da güvenlik firması Lexfo’dan araştırmacılar Charles Fol ve Dan Bach tarafından keşfedildi.
Sorun, saldırganların özel olarak tasarlanmış istekler yoluyla rasgele kod veya komutları yürütmesine olanak tanır. Temelde, öncelikle Fortinet ürünlerinin Güvenli Yuva Katmanı Sanal Özel Ağlarını hedefleyen bir yığın taşması hatasıdır.
Fortinet’in Yanıtı
Fortinet, 12 Haziran’da FortiOS aygıt yazılımı 7.0.12, 7.2.5, 6.4.13 ve 6.2.15 sürümleri için yamalar yayınlayarak bu kritik açığı giderdi. Şirket ayrıca bu güvenlik açığının, kritik altyapıya, hükümete ve üretim sektörlerine yönelik hedefli saldırılarda sınırlı sayıda vakada kötüye kullanılmış olabileceğini de kabul etti.
Raporun yazarı ve Yetenek Geliştirme ekibinin direktörü Caleb Gross, “Şimdi kendi yamanızı yapmalısınız” diye yazmıştı.
İLGİLİ MAKALELER
- Bilgisayar korsanları, savunmasız Fortinet SSL VPN’lerinin oturum açma kimlik bilgilerini sızdırıyor
- Çinli Hackerlar Fortinet Ürünlerinde 0 Günlük Güvenlik Açığı Kullanıyor
- Bilgisayar korsanları, Fortinet VPN kullanıcılarının oturum açma kimlik bilgilerini düz metin olarak atar
- Fortinet VPN – FBI-CISA’daki kritik güvenlik açıklarından yararlanan bilgisayar korsanları