Fortinet’i etkileyen dört yıllık kritik bir güvenlik açığı FortiOS SSL, 2022’de en rutin ve sık kullanılan güvenlik açıklarından biri olarak ortaya çıktı.
Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve Birleşik Krallık’tan oluşan Five Eyes ülkelerinden siber güvenlik ve istihbarat teşkilatları, “2022’de kötü niyetli siber aktörler, yakın zamanda açıklanan güvenlik açıklarından daha sık eski yazılım güvenlik açıklarından yararlandı ve yama uygulanmamış, internete açık sistemleri hedef aldı.” ABD, ortak bir alarmda söyledi.
Yetkililer, 2020 ve 2021’de en çok istismar edilen açıklardan biri olan CVE-2018-13379’un silahlandırılmasına devam edilmesinin, kuruluşların yamaları zamanında uygulama konusunda başarısız olduğunu gösterdiğini söyledi.
Danışma belgesine göre, “Kötü niyetli siber aktörler, ciddi ve küresel olarak yaygın CVE’ler için açıklardan yararlanma geliştirmeye büyük olasılıkla öncelik veriyor.” “Sofistike aktörler aynı zamanda diğer güvenlik açıklarından yararlanmak için araçlar geliştirirken, kritik, yaygın ve genel olarak bilinen güvenlik açıkları için güvenlik açıkları geliştirmek, oyunculara birkaç yıl boyunca kullanabilecekleri düşük maliyetli, yüksek etkili araçlar sağlar.”
CVE-2018-13379, FortiOS SSL VPN web portalında, kimliği doğrulanmamış bir saldırganın özel hazırlanmış HTTP kaynak istekleri aracılığıyla FortiOS sistem dosyalarını indirmesine izin verebilecek bir yol geçiş hatası anlamına gelir.
Yaygın olarak kullanılan diğer kusurlardan bazıları şunlardır:
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), “Saldırganlar genellikle bilinen güvenlik açıklarından yararlanma konusunda en başarılı olanları, kamuya ifşa edildikten sonraki ilk iki yıl içinde görüyorlar ve muhtemelen güvenlik güncellemelerini derhal uygulayan kuruluşların faydasını vurgulayarak etkiyi en üst düzeye çıkarmak için açıklarını hedef alıyorlar.”
“Zamanında yamalama, bilinen, kötüye kullanılabilir güvenlik açıklarının etkinliğini azaltır, muhtemelen kötü niyetli siber aktör operasyonlarının hızını düşürür ve daha maliyetli ve zaman alan yöntemlerin (sıfır gün istismarları geliştirmek veya yazılım tedarik zinciri operasyonları yürütmek gibi) peşinde koşmaya zorlar.” ajanslar kaydetti.