Siber Muhbir

CVE-2024-21762 (CVSS puanı: 9.6) güvenlik açığı, rastgele kod ve komutların yürütülmesine izin verir.

Şirket, Perşembe günü yayınlanan bir bültende, "FortiOS'taki sınır dışı bir yazma güvenlik açığı [CWE-787], kimliği doğrulanmamış bir saldırganın özel hazırlanmış HTTP istekleri aracılığıyla rastgele kod veya komut yürütmesine izin verebilir" dedi.

Ayrıca, sorunun nasıl ve kim tarafından silahlandırıldığına dair ek ayrıntılar vermeden "potansiyel olarak vahşi doğada istismar edildiğini" kabul etti.

Aşağıdaki sürümler bu güvenlik açığından etkilenmektedir. FortiOS 7.6'nın etkilenmediğini belirtmekte fayda var.

• FortiOS 7.4 (7.4.0 - 7.4.2 sürümleri) - 7.4.3 veya üstüne yükseltin
• FortiOS 7.2 (7.2.0 - 7.2.6 sürümleri) - 7.2.7 veya üstüne yükseltin
• FortiOS 7.0 (7.0.0 - 7.0.13 sürümleri) - 7.0.14 veya üstüne yükseltin
• FortiOS 6.4 (6.4.0 - 6.4.14 sürümleri) - 6.4.15 veya üstüne yükseltin
• FortiOS 6.2 (6.2.0 - 6.2.15 sürümleri) - 6.2.16 veya üstüne yükseltin
• FortiOS 6.0 (sürüm 6.0 tüm sürümler) - Sabit bir sürüme geçiş

Geliştirme, Fortinet'in CVE-2024-23108 ve CVE-2024-23109 için yamalar yayınlamasıyla geldi ve FortiSIEM süpervizörünü etkileyerek kimliği doğrulanmamış uzak bir saldırganın hazırlanmış API istekleri aracılığıyla yetkisiz komutlar yürütmesine izin verdi.

Bu haftanın başlarında, Hollanda hükümeti, silahlı kuvvetler tarafından kullanılan bir bilgisayar ağına, COATHANGER adlı bir arka kapı sağlamak için Fortinet FortiGate cihazlarındaki bilinen kusurlardan yararlanarak Çin devlet destekli aktörler tarafından sızıldığını açıkladı.

Şirket, bu hafta yayınlanan bir raporda, CVE-2022-42475 ve CVE-2023-27997 gibi yazılımlarındaki N-day güvenlik açıklarının hükümetleri, hizmet sağlayıcıları, danışmanlıkları, üretimi ve büyük kritik altyapı kuruluşlarını hedef almak için birden fazla etkinlik kümesi tarafından istismar edildiğini açıkladı.

Daha önce, Çinli tehdit aktörleri, BOLDMOVE, THINCRUST ve CASTLETAP gibi çok çeşitli implantlar sunmak için Fortinet cihazlarındaki güvenlik açıklarının sıfır gün istismarıyla bağlantılıydı.

Ayrıca, ABD hükümetinin, Fortinet, Ivanti Connect Secure, NETGEAR, Citrix ve Cisco'dan gelenler gibi ağ cihazlarındaki bilinen ve sıfır gün kusurlarından yararlanarak ülkedeki kritik altyapıyı uzun vadeli keşfedilmemiş kalıcılık için hedef alan Volt Typhoon adlı bir Çin ulus devlet grubu hakkında yaptığı bir tavsiyeyi takip ediyor.

İddiaları reddeden Çin, ABD'yi kendi siber saldırılarını yürütmekle suçladı.

Çin ve Rusya'nın yürüttüğü kampanyalar, bu tür teknolojilerin uç nokta algılama ve yanıt (EDR) desteğinden yoksun olması ve bu da onları kötüye kullanıma hazır hale getirmesi nedeniyle son yıllarda internete dönük uç cihazların karşı karşıya olduğu artan tehdidin altını çiziyor.

Fortinet, "Bu saldırılar, halihazırda çözülmüş N-day güvenlik açıklarının ve müteakip [karadan uzakta yaşama] tekniklerinin kullanımını gösteriyor ve bu, siber aktör veya Volt Typhoon olarak bilinen aktörler grubu tarafından kullanılan davranışın oldukça göstergesidir.

CISA, CVE-2024-21762'nin Kötüye Kullanıldığını Doğruladı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 9 Şubat 2024'te CVE-2024-21762'yi Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.

Federal Sivil Yürütme Şubesi (FCEB) kurumları, ağlarını potansiyel tehditlere karşı güvence altına almak için düzeltmeleri 16 Şubat 2024'e kadar uygulamakla görevlendirildi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.