Çin ve Rus siber casusları güvenlik açığını aktif olarak hedef alıyor
Fortinet, müşterilerini vahşi doğada zaten istismar edilmiş olan kritik bir kimlik doğrulama atlama güvenlik açığını düzeltmeye çağırıyor.
Bu ayın başlarında ağ sağlayıcısı, FortiOS ağ işletim sisteminde, FortiProxy güvenli web proxy’sinde ve FortiSwitchManager yönetim platformu projelerinde bulunan CVE-2022-40684 hatasını düzeltti.
Güvenlik açığı, kimliği doğrulanmamış bir saldırganın yönetici kullanıcıya bir SSH anahtarı eklemesine olanak tanıyarak olası kötü niyetli kişilerin özel hazırlanmış HTTP veya HTTPS isteklerini kullanarak yönetim arabirimini ele geçirmesine olanak tanır.
Bu sorun, 7.0.0 ila 7.0.6 ve 7.2.0 ila 7.2.1 arasındaki FortiOS sürümlerini, 7.0.0 ila 7.0.6 ve 7.2.0 arasındaki FortiProxy sürümlerini ve FortiSwitchManager 7.0.0 ve 7.2.0 sürümlerini etkiler.
En son ağ güvenliği haberlerini ve analizlerini yakalayın
Müşterilere e-posta yoluyla bilgi verildi ve savunmasız cihazları bu ayın başlarında FortiOS 7.0.7 veya 7.2.2 ve üzeri, FortiProxy 7.0.7 veya 7.2.1 ve üzeri ve FortiSwitchManager 7.2.1 veya üzeri sürümlere güncellemeleri tavsiye edildi. Fortinet, yapamayanların internete yönelik HTTPS Yönetim arayüzlerini derhal devre dışı bırakması gerektiğini söyledi.
Yama yayınlandıktan sonra Horizon3.ai, güvenlik açığından yararlanmak için kavram kanıtı kodu yayınladı.
“Bir saldırgan, bu güvenlik açığını, savunmasız sisteme istedikleri hemen hemen her şeyi yapmak için kullanabilir. Bu, ağ yapılandırmalarını değiştirmeyi, yeni kullanıcılar eklemeyi ve paket yakalamaları başlatmayı içerir” diye uyardı.
“Bu güvenlik açığından yararlanmanın tek yolunun bu olmadığını ve işe yarayan başka koşullar olabileceğini unutmayın. Örneğin, bu istismarın değiştirilmiş bir sürümü, Kullanıcı Aracısı ‘Node.js’yi kullanır.”
sömürü ekseni
Bu arada siber güvenlik firması Cyfirma, saldırganların vahşi doğada güvenlik açığını taradığı ve bu güvenlik açığından yararlanmaya çalıştığı konusunda uyardı.
“İstihbarat araştırma topluluğumuz, İranlı ve Çinli tehdit aktörlerinin Fortinet ürünlerinin güvenlik açıklarını kötüye kullandığını gözlemledi” dedi. “Şüpheli tehdit aktörleri, devam eden kampanyadaki US17IRGCorp aka APT34, HAFNIUM ve bağlı kuruluşlarıdır.”
Cyfirma, İranlı siber suçluların, Rusya’nın Ukrayna’daki saldırısını desteklemek amacıyla, kampanyanın bir parçası olarak Çinli gruplar ve Rus siber suçlularla gizli anlaşma yapıyor gibi göründüğü konusunda uyardı.
Cyfirms’e göre karanlık web forum tartışmaları, Fortinet’in teknolojilerine, ortadaki manipülatör (MITM) saldırılarına, potansiyel fidye yazılımı saldırılarına ve güvenliği ihlal edilmiş ağda daha derinlere saldırmak için yatay hareketlere dayanan kurumsal ağlardaki zayıflıktan yararlanmaya odaklandı. kuruluşlar.
Yama tavsiyesi tekrarlandı
Vahşi doğada saldırıların tespit edilmesine yanıt olarak Fortinet, durumun artan ciddiyetini vurgulayan bir tavsiye daha yayınladı.
“Fortinet, bu güvenlik açığının hedeflenen cihazlardan yapılandırma dosyasını indirmek ve kötü amaçlı yazılım eklemek için istismar edildiği örneklerin farkındadır. süper_admin ‘ adlı hesapfortigate-tech-destek‘” dedi, müşterilerin güncellemeleri için tavsiyelerini yinelemeden önce.
Ancak, dört gün sonra, etkilenen birçok kuruluşun sistemlerine yama yapmadığı ortaya çıktı ve bu da Fortinet’ten bir uyarı daha aldı.
“Geçen hafta boyunca Fortinet’ten gelen çok sayıda bildirimden sonra, hala hafifletilmesi gereken çok sayıda cihaz var ve PoC kodunun bir dış tarafça yayınlanmasının ardından, bu güvenlik açığından aktif olarak yararlanılıyor” dedi.
için bir açıklamada Günlük Swigşirket şunları ekliyor: “Müşterilerimizin güvenliğine olan bağlılığımızın bir parçası olarak, 10 Ekim PSIRT Danışmanlığımızda (FG-IR-22-377) sağlanan rehberliği derhal takip etmeleri için onları güçlü bir şekilde teşvik etmek için proaktif olarak ulaşmaya devam ediyoruz, durumu izlemeye devam ediyoruz.”
İLİŞKİLİ Gömülü RCE istismarı ile Başarısız Kobalt Saldırısı düzeltmesi şimdi yamalı