Fortinet, geçen hafta yamalanan kritik bir FortiOS SSL VPN güvenlik açığının hükümet, üretim ve kritik altyapı kuruluşlarını etkileyen saldırılarda “istismar edilmiş olabileceğini” söylüyor.
Kusur (CVE-2023-27997 / FG-IR-23-097 olarak izlenir), FortiOS ve FortiProxy SSL-VPN’de kimliği doğrulanmamış saldırganların kötü amaçlarla oluşturulmuş istekler yoluyla uzaktan kod yürütme (RCE) elde etmesine olanak tanıyan, yığın tabanlı bir arabellek taşması zayıflığıdır. .
CVE-2023-27997, sıfır gün CVE-2022-42475 FortiOS SSL-VPN’den yararlanan devlet kurumlarına yönelik bir dizi yeni saldırının ardından SSL-VPN modülünün kod denetimi sırasında keşfedildi.
Cuma günü Fortinet, bugün ek ayrıntıları açıklamadan önce güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Bu, şirketin güvenlik açıklarını ifşa etmeden önce yamaları ilk kez zorlaması değil. Böylece tehdit aktörleri açıklardan yararlanma oluşturmak için tersine mühendislik uygulamadan önce müşterilere cihazlarını güvenceye almaları için zaman tanımış oluyor.
Fortinet Pazartesi günü yayınlanan bir raporda, “Araştırmamız, bir sorunun (FG-IR-23-097) sınırlı sayıda vakada kullanılmış olabileceğini tespit etti ve durumu izlemek için müşterilerle yakın bir şekilde çalışıyoruz.” dedi.
“Bu nedenle, müşterinin SSL-VPN’i etkinleştirmesi durumunda Fortinet, müşterilerine en son üretici yazılımı sürümüne yükseltme yapmak için hemen harekete geçmelerini tavsiye ediyor.
“Müşteri SSL-VPN kullanmıyorsa bu sorunun riski azalır – ancak Fortinet yine de yükseltme yapılmasını önerir.”
Volt Typhoon bağlantıları
Fortinet, Amerika Birleşik Devletleri’ndeki kritik altyapı kuruluşlarını hedef alan yakın zamanda açıklanan Volt Typhoon saldırılarıyla herhangi bir bağlantı kurmasa da, Çinli siber casusluk grubunun CVE-2023-27997 kusurunu da hedef alabileceği ihtimalinden bahsetti.
“Şu anda FG-IR-23-097’yi Volt Typhoon kampanyasıyla ilişkilendirmiyoruz, ancak Fortinet, Volt Typhoon kampanyasının arkasındakiler de dahil olmak üzere tüm tehdit aktörlerinin yaygın olarak kullanılan yazılım ve cihazlardaki yamalanmamış güvenlik açıklarından yararlanmaya devam etmesini bekliyor.” şirket söyledi.
“Bu nedenle Fortinet, agresif bir yama kampanyasıyla acil ve sürekli hafifletme çağrısında bulunuyor.”
Volt Typhoon, çok çeşitli kritik sektörlerdeki kuruluşların ağlarına erişim elde etmek için bilinmeyen bir sıfır gün güvenlik açığı yoluyla İnternet’e açık Fortinet FortiGuard cihazlarına sızmasıyla tanınır.
Tehdit aktörleri ayrıca, kötü amaçlı etkinliklerinin meşru ağ trafiğiyle karışmasını sağlayarak tespit edilmekten kaçınmak için birden çok satıcının güvenliği ihlal edilmiş yönlendiricilerini, güvenlik duvarlarını ve VPN cihazlarını kullanır.
Fortinet bugün, ilk erişim için öncelikle FortiOS / FortiProxy / FortiSwitchManager cihazlarında bir kimlik doğrulama baypas güvenlik açığı olan CVE-2022-40684’e karşı yama uygulanmamış cihazları hedeflediklerini söyledi.
Ancak, daha önce de belirtildiği gibi, tehdit aktörlerinin de yeni güvenlik açıkları ortaya çıktıkça bunları kötüye kullanmaya başlaması bekleniyor.