Siber Muhbir

CVE-2024-47575 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, FortiJump olarak da bilinir ve FortiGate to FortiManager (FGFM) protokolüne dayanır.

Şirket, çarşamba günü yaptığı açıklamada, "FortiManager fgfmd arka plan programında kritik işlev güvenlik açığı [CWE-306] için eksik bir kimlik doğrulaması, kimliği doğrulanmamış uzak bir saldırganın özel hazırlanmış istekler aracılığıyla rastgele kod veya komutlar yürütmesine izin verebilir" dedi.

Eksiklik FortiManager 7.x, 6.x, FortiManager Cloud 7.x ve 6.x sürümlerini etkiler. Ayrıca, fgfm hizmeti etkinleştirilmiş en az bir arabirime sahip olan ve aşağıdaki yapılandırmaya sahip eski FortiAnalyzer modelleri 1000E, 1000F, 2000E, 3000F, 3000G, 3500E, 3500F, 3700F, 3700G ve 3900E'yi de etkiler:

Fortinet ayrıca, kurulu FortiManager'ın mevcut sürümüne bağlı olarak kusur için üç geçici çözüm sağlamıştır:

• FortiManager sürümleri 7.0.12 veya üzeri, 7.2.5 veya üzeri, 7.4.3 veya üzeri: Bilinmeyen cihazların kaydolmaya çalışmasını önleyin
• FortiManager 7.2.0 ve üzeri sürümler: FortiGates'in bağlanmasına izin verilen IP adreslerini izin verilenler listesine eklemek için yerel ilkeler ekleyin
• FortiManager sürümleri 7.2.2 ve üzeri, 7.4.0 ve üzeri, 7.6.0 ve üzeri: Özel bir sertifika kullanın

RunZero'ya göre, başarılı bir istismar, saldırganların geçerli bir Fortinet cihaz sertifikasına sahip olmasını gerektiriyor, ancak bu tür sertifikaların mevcut bir Fortinet cihazından alınabileceğini ve yeniden kullanılabileceğini belirtti.

Şirket, "Bu saldırının vahşi doğada tanımlanan eylemleri, yönetilen cihazların IP'lerini, kimlik bilgilerini ve yapılandırmalarını içeren FortiManager'dan çeşitli dosyaların sızdırılmasını bir komut dosyası aracılığıyla otomatikleştirmek olmuştur" dedi.

Bununla birlikte, güvenlik açığının, güvenliği ihlal edilmiş FortiManager sistemlerine kötü amaçlı yazılım veya arka kapı dağıtmak için silah haline getirilmediğini ve herhangi bir değiştirilmiş veritabanı veya bağlantıya dair herhangi bir kanıt bulunmadığını vurguladı.

Gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) hatayı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesine neden oldu ve federal kurumların düzeltmeleri 13 Kasım 2024'e kadar uygulamasını gerektirdi.

Fortinet, aşağıdaki açıklamayı paylaştı:

Fortinet, bu güvenlik açığını (CVE-2024-47575) belirledikten sonra kritik bilgileri ve kaynakları müşterilere hemen iletti. Bu, bir danışma belgesinin tehdit aktörleri de dahil olmak üzere daha geniş bir kitleye duyurulmasından önce müşterilerin güvenlik duruşlarını güçlendirmelerini sağlamak için sorumlu açıklama için süreçlerimiz ve en iyi uygulamalarımızla uyumludur. Ayrıca, geçici bir çözüm ve yama güncellemeleri de dahil olmak üzere azaltma kılavuzunu yineleyen ilgili bir genel danışma belgesi (FG-IR-24-423) yayınladık. Müşterilerimizi, geçici çözümleri ve düzeltmeleri uygulamak için sağlanan yönergeleri izlemeye ve güncelleştirmeler için danışma belgesi sayfamızı izlemeye devam etmeye teşvik ediyoruz. Devam eden müdahalemizin bir parçası olarak uygun uluslararası devlet kurumları ve endüstri tehdit kuruluşlarıyla koordinasyon sağlamaya devam ediyoruz.

CVE-2024-47575 UNC5820 ile bağlantılı istismar

Google'ın sahibi olduğu Mandiant, CVE-2024-47575 kullanarak FortiManager cihazlarının toplu olarak kullanılmasını UNC5820 adı altında izlediği yeni bir tehdit kümesine bağladı.

Bugüne kadar çeşitli sektörlerde potansiyel olarak güvenliği ihlal edilmiş en az 50 FortiManager cihazı tespit edildi ve istismar kanıtları 27 Haziran 2024'e kadar uzanıyor.

Mandiant araştırmacıları Foti Castelan, Max Thauer, JP Glab, Gabby Roncone, Tufail Ahmed ve Jared Wilson, "UNC5820, istismar edilen FortiManager tarafından yönetilen FortiGate cihazlarının yapılandırma verilerini sahneledi ve sızdırdı" dedi.

"Bu veriler, yönetilen cihazların yanı sıra kullanıcıların ve FortiOS256 karma parolalarının ayrıntılı yapılandırma bilgilerini içerir. Bu veriler, UNC5820 tarafından FortiManager'ı daha fazla tehlikeye atmak, yönetilen Fortinet cihazlarına yanal olarak geçmek ve nihayetinde kurumsal ortamı hedeflemek için kullanılabilir."

Fortinet ile birlikte çalışan tehdit istihbarat firması, tehdit aktörünün yapılandırma verilerini yanal hareket ve daha fazla istismar sonrası için kötüye kullandığına dair hiçbir kanıt bulamadığını söyledi. UNC5820'ın kesin kökenleri ve motivasyonları belirsizliğini koruyor, yeterli veri eksikliğine atıfta bulunarak ekledi.

4.000'den Fazla Açık FortiManager Yönetici Portalı Çevrimiçi Olarak Kullanıma Sunuldu

Saldırı yüzeyi yönetim şirketi Censys tarafından paylaşılan veriler, çevrimiçi olarak 4.081 açık FortiManager yönetici portalı olduğunu ve bunların yaklaşık %30'unun ABD'de bulunduğunu ortaya koydu.

Bununla birlikte, belirli cihaz sürümleri hakkında bilgi eksikliği nedeniyle bu örneklerden kaçının CVE-2024-47575'e gerçekten duyarlı olduğu hemen belli değil.

""CVE 2024-47575'in oluşturduğu risk küçümsenemez. Securonix'in kıdemli tehdit araştırmacısı Tim Peck, paylaşılan bir açıklamada, "Kusur, uzaktan kod yürütme potansiyeli nedeniyle büyük ölçekli işletmelerin peşinde olan tehdit aktörleri için çekici" dedi.

"Bu ortamlarda, potansiyel zararlar yetkisiz erişimden veri hırsızlığına ve hatta kritik operasyonların kesintiye uğramasına kadar değişebilir. Etkilenen kuruluşlar, 24 Ekim'de yayınlanan yamayı derhal uygulamalıdır. Ardından, şüpheli etkinlik için erişim günlüklerini gözden geçirin ve sağlam bir olay müdahale planının yürürlükte olduğundan emin olun."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.