ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), siber saldırganların Fortinet tarafından Perşembe günü yamalanan kritik bir uzaktan kod yürütme (RCE) hatasından aktif olarak yararlandığını doğruladı.
Açık (CVE-2024-21762), FortiOS işletim sistemindeki, kimliği doğrulanmamış saldırganların kötü niyetle hazırlanmış HTTP isteklerini kullanarak uzaktan rastgele kod çalıştırmasına izin verebilen sınır dışı yazma zayıflığından kaynaklanıyor. Güvenlik açığı bulunan cihazları yamalamak için güvenlik güncellemelerini hemen dağıtamayan yöneticiler, cihazdaki SSL VPN’i devre dışı bırakarak saldırı vektörünü ortadan kaldırabilir.
CISA’nın duyurusu, Fortinet’in açığın “potansiyel olarak gerçek zamanlı olarak istismar edildiğini” belirten bir güvenlik tavsiyesi yayınlamasından bir gün sonra geldi. Şirket henüz potansiyel CVE-2022-48618 ile ilgili daha fazla ayrıntı paylaşmamış olsa da, CISA bu açığı Bilinen Açıklar Kataloğuna ekledi ve bu tür hataların “kötü niyetli siber aktörlerin sık kullandıkları bir saldırı vektörleri” olduğu ve “federal kuruluşlar için önemli riskler” oluşturduğu uyarısında bulundu.
Siber güvenlik kurumu ayrıca, Kasım 2021’de yayınlanan bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği şekilde, ABD federal kurumlarına FortiOS cihazlarını bu güvenlik açığına karşı yedi gün içinde, 16 Şubat’a kadar güvence altına almaları çağrısında bulundu.
Fortinet’ten kafa karıştırıcı açıklamalar
Fortinet bu hafta FortiSIEM çözümündeki diğer iki kritik RCE açığını (CVE-2024-23108 ve CVE-2024-23109) yamaladı. Şirket başlangıçta CVE’lerin gerçek olduğunu reddetmiş ve bunların Ekim ayında düzeltilen benzer bir açığın (CVE-2023-34992) kopyaları olduğunu iddia etmişti.
Daha sonra ortaya çıktığı üzere, hatalar Horizon3 güvenlik açığı uzmanı Zach Hanley tarafından keşfedildi ve raporlandı; şirket sonunda iki CVE’nin orijinal CVE-2023-34992 hatasının varyantları olduğunu kabul etti. Uzaktan kimliği doğrulanmamış saldırganlar bu güvenlik açıklarını kullanarak savunmasız cihazlarda keyfi kod çalıştırabileceğinden, tüm Fortinet cihazlarının mümkün olan en kısa sürede derhal güvenli hale getirilmesi şiddetle tavsiye edilmektedir.
Fortinet sistemlerinde tespit edilen bu açıklar, çoğu zaman sıfırıncı gün olarak adlandırılır ve siber casusluk kampanyalarında ve fidye yazılımı saldırılarında kurumsal ağları ihlal etmek için yaygın olarak hedeflenir.
Örneğin, Fortinet Çarşamba günü yaptığı açıklamada Çinli Volt Typhoon hack grubunun Coathanger özel zararlı yazılımını kullandıkları saldırılarda iki FortiOS SSL VPN açığını (CVE-2022-42475 ve CVE-2023-27997) kullandığını belirtmişti.
