Fortinet, üretici güvenlik duvarlarındaki saldırganların yuvalama ve kalıcılığa ulaştığı mevcut bir varyant bildiriyor. Bu arada, araştırmacılar tüm dünyada 14.000'den fazla Fortinet güvenlik duvarı izledi.
Bir blog yazısında Fortinet, saldırganların ağlara girmek için Fortinet güvenlik duvarlarının VPN bileşeninde farkındalığın kırılganlığını kullandığını tartıştı. Özel olarak incelenen vakalar Fortios SSL-VPN'de güvenlik boşlukları (CVE-2022-42475, CVSS 9.3Risk “eleştirmen“), Forttios ve Fortzroxy SSL-VPN (CVE 2023-27997, CVSS 9.2Risk “eleştirmen“) Fortios ve Fortiproxy SSLVPND'ye ek olarak (CVE-2024-21762, CVSS 9.6Risk “eleştirmen“).
Fortinet Uzlaşma: Bağlantılarla Kalıcılık
Bu saldırılar olağandışı değil. Fortinet analistleri için yeni olan şey, saldırganların kendilerini daldırma şeklidir. Doğru eklenmiş güçlü cihazlardaki SSL-VPN dil dosyaları için bir klasördeki kullanıcı sistemi ile kök dosya sistemi arasında bir SymLink bağlantısı (sembolik bağlantı) oluşturdunuz. SymLink kullanıcı sisteminde oluşturuldu ve keşiften kaçınmaya çalıştı. Ekteki güvenlik açığını kapatmak için güncellemeleri kullandıktan sonra bile, SymLink, saldırganların yapılandırma dahil olmak üzere dosya sistemine erişmesine izin verebildi. Fortinet, SSL-VPN hiç etkinleştirilmediyse, bu saldırı mümkün değil.
Fortinet, bu sembolik bağlantıları kaldırması gereken bir imza oluşturdu ve SSL-VPN yazılımının filtrelenmesi için uyarlandığı söyleniyor. Fortinet ayrıca ilgilendiği kabul edilen müşterileri de bilgilendirdi. Fortios 7.6.2, 7.4.7, 7.2.11, 7.0.17 ve 6.4.16'ya yapılan güncelleme sorunu geleneksel bir şekilde düzeltir. Ayrıca, BT yöneticileri cihazların yapılandırmasını kontrol etmelidir.
Shadowerver Vakfı ayrıca şu anda X'te tehlikeye atılan binlerce Fortinet cihazını da bildirdi. İlgili makinelerin çoğu Amerika Birleşik Devletleri'nde (1.500), Almanya geçen Cuma günü 233 Fortinet cihazıyla listede 18. sırada bulundu. Pazartesi günü, mevcut Shadower Show istatistikleri olan tüm dünyada yaklaşık 14.600 Fortinet sistemi tehlikeye atıldı.
(DMK)
Bir blog yazısında Fortinet, saldırganların ağlara girmek için Fortinet güvenlik duvarlarının VPN bileşeninde farkındalığın kırılganlığını kullandığını tartıştı. Özel olarak incelenen vakalar Fortios SSL-VPN'de güvenlik boşlukları (CVE-2022-42475, CVSS 9.3Risk “eleştirmen“), Forttios ve Fortzroxy SSL-VPN (CVE 2023-27997, CVSS 9.2Risk “eleştirmen“) Fortios ve Fortiproxy SSLVPND'ye ek olarak (CVE-2024-21762, CVSS 9.6Risk “eleştirmen“).
Fortinet Uzlaşma: Bağlantılarla Kalıcılık
Bu saldırılar olağandışı değil. Fortinet analistleri için yeni olan şey, saldırganların kendilerini daldırma şeklidir. Doğru eklenmiş güçlü cihazlardaki SSL-VPN dil dosyaları için bir klasördeki kullanıcı sistemi ile kök dosya sistemi arasında bir SymLink bağlantısı (sembolik bağlantı) oluşturdunuz. SymLink kullanıcı sisteminde oluşturuldu ve keşiften kaçınmaya çalıştı. Ekteki güvenlik açığını kapatmak için güncellemeleri kullandıktan sonra bile, SymLink, saldırganların yapılandırma dahil olmak üzere dosya sistemine erişmesine izin verebildi. Fortinet, SSL-VPN hiç etkinleştirilmediyse, bu saldırı mümkün değil.
Fortinet, bu sembolik bağlantıları kaldırması gereken bir imza oluşturdu ve SSL-VPN yazılımının filtrelenmesi için uyarlandığı söyleniyor. Fortinet ayrıca ilgilendiği kabul edilen müşterileri de bilgilendirdi. Fortios 7.6.2, 7.4.7, 7.2.11, 7.0.17 ve 6.4.16'ya yapılan güncelleme sorunu geleneksel bir şekilde düzeltir. Ayrıca, BT yöneticileri cihazların yapılandırmasını kontrol etmelidir.
Shadowerver Vakfı ayrıca şu anda X'te tehlikeye atılan binlerce Fortinet cihazını da bildirdi. İlgili makinelerin çoğu Amerika Birleşik Devletleri'nde (1.500), Almanya geçen Cuma günü 233 Fortinet cihazıyla listede 18. sırada bulundu. Pazartesi günü, mevcut Shadower Show istatistikleri olan tüm dünyada yaklaşık 14.600 Fortinet sistemi tehlikeye atıldı.
(DMK)