Fortinet, Fortimanager'daki kritik güvenlik açığıyla ilgili bir güvenlik danışma belgesi yayınladı. Bu, hafta başında duyurulan Fortimanager güncellemelerini mühürleyen güvenlik açığıdır. Bu güvenlik açığını bilinen istismar edilen güvenlik açıkları kataloğuna dahil eden ABD siber güvenlik kurumu CISA, bu kişilerin zaten internette siber suçlular tarafından saldırıya uğradığı konusunda uyarıyor.
Duyuru
Fortinet, CVE Numaralandırma Otoritesi (CNA) olarak güvenlik açığı için CVSS puanı olan CVE-2024-47575'i oluşturup yayınladı. 9.8 GİBİ eleştirmen Risk sınıflandırıldı. “Fortimanager'da kritik bir işlevde kimlik doğrulama eksik […] Üretici, güvenlik açığını “saldırganların dikkatle hazırlanmış istekleri kullanarak rastgele kod veya komutlar yürütmesine olanak tanıyor” diye tanımlıyor.
Fortinet aradaki farkla ilgili ayrıntılar sunuyor
BSI CERT-Bund, güvenlik açığını 10,0 CVSS değeriyle maksimum kritik olarak sınıflandırıyor. Fortinet geliştiricileri artık güvenlik açığıyla ilgili bazı bilgileri bir güvenlik danışma belgesinde derledi. Burada şirket, kimlik doğrulama eksikliğinin fgfmd arka plan programını etkilediğini belirtiyor. BT güvenlik araştırmacısı Kevin Beaumont'un açıklamasına göre hizmet, FortiGate ekipmanlarını FortiManager'a kaydetmek için kullanılıyor.
Başka uygulama hataları da görüyor: Varsayılan olarak, seri numarası bilinmeyenler de dahil olmak üzere herhangi bir cihaz FortiManager'a kaydolabilir ve yönetilen bir cihaz haline gelebilir. Müşterinin yalnızca herhangi bir FortiGate cihazıyla kullanılabilecek geçerli bir sertifika sunması yeterlidir ve bu gerçek bir engel değildir. Kayıttan sonra FortiManager'da, saldırganların “sahte” FortiGate bağlantısı üzerinden rastgele kod çalıştırmasına olanak tanıyan bir güvenlik açığı devreye giriyor. FortiManager ek FortiGate güvenlik duvarlarını yönettiği için saldırganlar bunlara erişebilir, yapılandırmaları görüntüleyebilir ve değiştirebilir veya oturum açma verilerini çalabilir. Beaumont, yönetilen hizmet sağlayıcıların sıklıkla FortiManager'ı kullandığını ve saldırganların müşterilerinin ağlarına sızmasına olanak tanıdığını ekliyor.
FortiGate, doğru yazılım sürümlerinin tam listesini sağlar: FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13, 6.4.15 ve 6.2.13; FortiManager Cloud için 7.4.5, 7.2.8 ve 7.0.13 mevcuttur. Elbette daha yeni aygıt yazılımı sürümleri de sorunu çözüyor. FortiManager Cloud 6.4 kullanan herkesin daha yeni sürümlerden birine geçmesi gerekir. Daha eski FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G ve 3900E modelleri de aşağıdaki seçeneğin etkinleştirilmesi durumunda savunmasızdır:
config system global
set fmg-status enable
end
Henüz yükseltme yapamayan BT yöneticileri için Fortinet, güvenlik açıklarının etkilerini sınırlamak amacıyla geçici karşı önlemler de sağlıyor. Fortinet ayrıca yöneticilerin cihazlarının saldırıya uğrayıp uğramadığını belirlemek için kullanabileceği güvenlik ihlali göstergeleri de sağlıyor. Beamont, genel bakışında, FortiGate ve FortiManager ekipmanının FGFM bağlantı noktaları 541 (IPv4) veya 542 (IPv6) ile iletişim kurma girişimlerinin saldırı girişimlerini gösterdiği IP adreslerini de adlandırıyor.
Fortimanager çözümleri için mevcut güncellemeler Salı günü açıklandı. Ancak yeni sürümlerin neyi düzelttiğine dair hiçbir ayrıntı yok. Ancak internetteki sosyal ağlarda bunun zaten toplu saldırıya uğrayan bir güvenlik açığı olduğuna dair giderek daha fazla işaret var.
(Bilmiyorum)
Duyuru
Fortinet, CVE Numaralandırma Otoritesi (CNA) olarak güvenlik açığı için CVSS puanı olan CVE-2024-47575'i oluşturup yayınladı. 9.8 GİBİ eleştirmen Risk sınıflandırıldı. “Fortimanager'da kritik bir işlevde kimlik doğrulama eksik […] Üretici, güvenlik açığını “saldırganların dikkatle hazırlanmış istekleri kullanarak rastgele kod veya komutlar yürütmesine olanak tanıyor” diye tanımlıyor.
Fortinet aradaki farkla ilgili ayrıntılar sunuyor
BSI CERT-Bund, güvenlik açığını 10,0 CVSS değeriyle maksimum kritik olarak sınıflandırıyor. Fortinet geliştiricileri artık güvenlik açığıyla ilgili bazı bilgileri bir güvenlik danışma belgesinde derledi. Burada şirket, kimlik doğrulama eksikliğinin fgfmd arka plan programını etkilediğini belirtiyor. BT güvenlik araştırmacısı Kevin Beaumont'un açıklamasına göre hizmet, FortiGate ekipmanlarını FortiManager'a kaydetmek için kullanılıyor.
Başka uygulama hataları da görüyor: Varsayılan olarak, seri numarası bilinmeyenler de dahil olmak üzere herhangi bir cihaz FortiManager'a kaydolabilir ve yönetilen bir cihaz haline gelebilir. Müşterinin yalnızca herhangi bir FortiGate cihazıyla kullanılabilecek geçerli bir sertifika sunması yeterlidir ve bu gerçek bir engel değildir. Kayıttan sonra FortiManager'da, saldırganların “sahte” FortiGate bağlantısı üzerinden rastgele kod çalıştırmasına olanak tanıyan bir güvenlik açığı devreye giriyor. FortiManager ek FortiGate güvenlik duvarlarını yönettiği için saldırganlar bunlara erişebilir, yapılandırmaları görüntüleyebilir ve değiştirebilir veya oturum açma verilerini çalabilir. Beaumont, yönetilen hizmet sağlayıcıların sıklıkla FortiManager'ı kullandığını ve saldırganların müşterilerinin ağlarına sızmasına olanak tanıdığını ekliyor.
FortiGate, doğru yazılım sürümlerinin tam listesini sağlar: FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13, 6.4.15 ve 6.2.13; FortiManager Cloud için 7.4.5, 7.2.8 ve 7.0.13 mevcuttur. Elbette daha yeni aygıt yazılımı sürümleri de sorunu çözüyor. FortiManager Cloud 6.4 kullanan herkesin daha yeni sürümlerden birine geçmesi gerekir. Daha eski FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G ve 3900E modelleri de aşağıdaki seçeneğin etkinleştirilmesi durumunda savunmasızdır:
config system global
set fmg-status enable
end
Henüz yükseltme yapamayan BT yöneticileri için Fortinet, güvenlik açıklarının etkilerini sınırlamak amacıyla geçici karşı önlemler de sağlıyor. Fortinet ayrıca yöneticilerin cihazlarının saldırıya uğrayıp uğramadığını belirlemek için kullanabileceği güvenlik ihlali göstergeleri de sağlıyor. Beamont, genel bakışında, FortiGate ve FortiManager ekipmanının FGFM bağlantı noktaları 541 (IPv4) veya 542 (IPv6) ile iletişim kurma girişimlerinin saldırı girişimlerini gösterdiği IP adreslerini de adlandırıyor.
Fortimanager çözümleri için mevcut güncellemeler Salı günü açıklandı. Ancak yeni sürümlerin neyi düzelttiğine dair hiçbir ayrıntı yok. Ancak internetteki sosyal ağlarda bunun zaten toplu saldırıya uğrayan bir güvenlik açığı olduğuna dair giderek daha fazla işaret var.
(Bilmiyorum)