Fortinet, saldırganların sıfır gün olarak kullandığı kritik bir FortiManager güvenlik açığı olan CVE-2024-47575 hakkında nihayet kamuoyuna bilgi verdi.
CVE-2024-47575 Hakkında
CVE-2024-47575, FortiManager’ın fgfmd arka plan programındaki kritik bir işlev için kimlik doğrulamasının eksik olmasından kaynaklanan bir güvenlik açığıdır. Kimliği doğrulanmamış uzak saldırganlar, özel hazırlanmış istekler aracılığıyla rastgele kod veya komutlar yürütmek için bu kusurdan yararlanabilir.
FortiManager ve FortiManager Cloud’un çeşitli sürümlerinin yanı sıra bazı eski FortiAnalyzer modellerini de etkiler.
Fortinet’in tavsiye niteliğindeki açıklamasında “Raporlar bu güvenlik açığının vahşi ortamda istismar edilebileceğini gösterdi” ifadesine yer verildi.
“Bu saldırının doğada belirlenen eylemleri, yönetilen cihazların IP’lerini, kimlik bilgilerini ve yapılandırmalarını içeren çeşitli dosyaların FortiManager’dan dışarı sızmasını bir komut dosyası aracılığıyla otomatikleştirmekti. Bu aşamada, ele geçirilen FortiManager sistemlerine herhangi bir düşük seviyeli kötü amaçlı yazılım veya arka kapı kurulumuna ilişkin rapor almadık. Bildiğimiz kadarıyla, veritabanlarının değiştirildiğine veya yönetilen cihazlara bağlantı veya değişiklik yapıldığına dair herhangi bir gösterge bulunmuyor.”
Danışma belgesi, sabit sürümlere yükseltme yapılmasını önerir, olası geçici çözümleri ana hatlarıyla belirtir ve bilinen güvenlik ihlali göstergelerini sağlar.
Kusurlu açıklama
Yaklaşık on gün önce Fortinet, kusurla ilgili ayrıntıları ve hafifletme tavsiyelerini bir müşteri alt kümesiyle paylaştı. Özel bildirimin alıcıların kuruluşu dışında paylaşılması amaçlanmamıştı.
Ancak bu güvenlik açığından zaten yararlanılıyor ve siber güvenlik çevrelerinde haberler hızla yayılıyor. Fortinet’in bildirimini alanlar arasında yer almayan saygın bağımsız güvenlik araştırmacısı Kevin Beaumont, bilgileri bir araya getirip çevrimiçi olarak paylaşmaya başladı.
“Tehdit aktörü, FortiGate’e girmek için diğer CISA KEV güvenlik açığını (yılın başından itibaren) bir araya getiriyor, ardından bunu FortiManager yönetimine girmek için kullanıyor ve ardından bunu aşağıya doğru geri dönmek için kullanıyor; yani bölgesel ağların üzerinden atlıyor.” vahşi saldırıları özetledi.
Rapid7 güvenlik açığı araştırma direktörü Caitlin Condon, müşterilerinin “hizmet sağlayıcılardan güvenlik açığının kendi ortamlarında istismar edilmiş olabileceğini belirten iletişimler aldıklarını” doğruladı.
Fortinet, Help Net Security’ye, güvenlik açığını tespit ettikten sonra kritik bilgileri ve kaynakları derhal müşterilere ilettiklerini söyledi.
“Bu, tehdit aktörleri de dahil olmak üzere daha geniş bir hedef kitleye yönelik bir tavsiye niteliğindeki belgenin kamuya açıklanması öncesinde müşterilerin güvenlik duruşlarını güçlendirmelerine olanak tanıyan sorumlu ifşaat süreçlerimiz ve en iyi uygulamalarımızla uyumludur. Müşterilerimize, geçici çözümleri ve düzeltmeleri uygulamak için sağlanan yönergeleri takip etmelerini ve güncellemeler için danışma sayfamızı takip etmeye devam etmelerini tavsiye ediyoruz. Devam eden yanıtımızın bir parçası olarak uygun uluslararası devlet kurumları ve sektör tehdit örgütleriyle koordinasyon sağlamaya devam ediyoruz.”