Saldırganlar, hükümet, üretim ve kritik altyapı sektörlerindeki kullanıcıları etkileyen “sınırlı sayıda vakada” Fortinet’in FortiOS SSL-VPN’sindeki bir kusurdan yararlanmış olabilir.
Fortinet bir blog gönderisinde, güvenlik açığı için CVE-2023-27997/FG-IR-23-097 olarak izlenen ve kritik olarak derecelendirilen bir düzeltme yayınladı ve müşterilerini “durumu izlerken” başvurmaya çağırdı. bu hafta yayınlandı
Fortinet’e göre, kusurun kötüye kullanılması kurbanlar için “veri kaybı ve işletim sistemi ve dosya bozulmasına” neden olabilir, bu nedenle etkilenen müşterilerin sistemlerini güncellemesi zorunludur.
Fortinet’in ürün teknolojisinden sorumlu kıdemli başkan yardımcısı Carl Windsor, gönderisinde “Müşterinin SSL-VPN’i etkinleştirmesi durumunda Fortinet, müşterilerine en son ürün yazılımı sürümüne yükseltme yapmak için hemen harekete geçmelerini tavsiye ediyor” dedi. “Müşteri SSL-VPN kullanmıyorsa bu sorunun riski azaltılır — ancak Fortinet yine de yükseltme yapılmasını önerir.”
Fortinet’e göre yığın tabanlı arabellek taşması, kimlik doğrulama öncesi güvenlik açığı FortiOS ve FortiProxy SSL-VPN’i etkiliyor ve kimliği doğrulanmamış saldırganların kötü amaçlarla oluşturulmuş istekler yoluyla uzaktan kod yürütme (RCE) elde etmesine olanak tanıyor. Satıcı tarafından Cuma günü yayınlanan FortiOS ürün yazılımı 6.0.17, 6.2.15, 6.4.13, 7.0.12 ve 7.2.5 sürümleri güvenlik açığını düzeltir.
Fortinet, kusuru SSL-VPN platformunda yaptığı bir denetimde, Ocak ayında başka bir güvenlik açığı olan CVE-2022-42475’in – keşfedilmesinin ardından sıfırıncı gün hatası olan – yaygın şekilde kullanılmasının ardından buldu.
Windsor, “Bu denetim, üçüncü taraf bir araştırmacının sorumlu ifşasıyla birlikte, mevcut üretici yazılımı sürümlerinde düzeltilen belirli sorunların belirlenmesine yol açtı,” diye yazdı.
Volt Typhoon ile Potansiyel Bağlantılar
Saldırganlar, yakın zamanda keşfedilen Volt Typhoon kampanyasında ABD’deki kritik altyapı hedeflerine karşı önceden tanımlanmış bir Fortinet güvenlik açığı — FG-IR-22-377/CVE-2022-40684 — kullanmış olsalar da, Fortinet şu ana kadar CVE-2023-27997’yi buna kesin olarak bağlamadı. şirket gönderide bir dizi saldırı olduğunu söyledi.
Fakat, Fortinet iddia etti bu, şu anda istismar ediliyor olsun veya saldırganlar gelecekte onu kullanacaksa, kampanyada kullanılmasını engellemez.
Windsor, “Fortinet, Volt Typhoon kampanyasının arkasındakiler de dahil olmak üzere tüm tehdit aktörlerinin yaygın olarak kullanılan yazılım ve cihazlardaki yamalanmamış güvenlik açıklarından yararlanmaya devam etmesini bekliyor.”
Microsoft tarafından keşfedilen Volt Typhoon, Çin destekli tehdit aktörlerinin ABD’deki telekom ağları ve diğer kritik altyapı hedeflerinde kalıcı erişim sağladığı bir dizi saldırıdır.
Fortinet, Volt Typhoon saldırganlarının ilk erişim için Fortinet FortiOS ve FortiProxy’de bulunan bir kimlik doğrulama baypas güvenlik açığı olan CVE-2022-40684’ü kullandığını doğruladı. Gerçekten de, internete bakan Fortinet cihazları, çeşitli tehdit aktörleri için kurumsal ağlarda tutunma yolu olarak popüler bir hedeftir.
Şirket, özellikle Fortinet araştırmacılarının Volt Typhoon kampanyasıyla ilgili müşteri cihazlarında “fortinet-tech-support” ve “fortigate-tech-support” adlı yönetici hesapları keşfettiğini söyledi.
“Müşterilerimizle işbirliği içinde yürüttüğümüz kendi araştırmamız, Volt Typhoon kampanyasının ağlara erişim elde etmek için çeşitli taktikler, teknikler ve prosedürler (TTP’ler) kullandığını belirledi. tespit edilmekten kaçınmak için,” diye yazdı Windsor.
Yama Uygulamanın Ötesindeki Azaltmalar
Ürün güncellemelerini uygulamak uzlaşmadan kaçınmanın en önemli yolu olsa da Fortinet, etkilenen kuruluşların sorunu çözmesine yardımcı olacak başka önerilerde bulundu. Şirket, Volt Typhoon tarafından istismar edilenler gibi önceki Fortinet güvenlik açıklarının istismar edildiğine dair kanıtlar için sistemlerin gözden geçirilmesi olduğunu söyledi.
Fortinet’e göre, kullanılmayan özellikleri devre dışı bırakarak saldırı yüzeyini en aza indirmek ve mümkün olan yerlerde bant dışı bir yöntemle cihazları yönetmek, şirketlerin mevcut güvenlik açıklarından yararlanan saldırılara hedef olmaktan kaçınmasına da yardımcı olabilir.