Perşembe, Haziran 20, 2024
Ana SayfaTeknoloji Haberleri336.000 sunucu, kritik Fortigate güvenlik açığına karşı yama uygulanmadı

336.000 sunucu, kritik Fortigate güvenlik açığına karşı yama uygulanmadı

336.000 sunucu, kritik Fortigate güvenlik açığına karşı yama uygulanmadı

Araştırmacılar, internete maruz kalan yaklaşık 336.000 cihazın, Fortinet tarafından satılan güvenlik duvarlarındaki kritik bir güvenlik açığına karşı savunmasız kaldığını, çünkü yöneticilerin şirketin üç hafta önce yayınladığı yamaları henüz yüklemediğini söylüyor.

CVE-2023-27997, şirketin güvenlik duvarlarına dahil olan Fortigate VPN’lerinde uzaktan kod yürütmedir. Bir yığın taşması hatasından kaynaklanan güvenlik açığı, 10 üzerinden 9,8 önem derecesine sahip. Fortinet, 8 Haziran’da açığı sessizce yamalayan güncellemeler yayınladı ve dört gün sonra, hedefli saldırılarda kullanılmış olabileceğini söyleyen bir danışma belgesinde açıkladı. . Aynı gün, ABD Siber Güvenlik ve Altyapı Güvenliği İdaresi, onu bilinen kötüye kullanılan güvenlik açıkları kataloğuna ekledi ve federal kurumlara yama yapması için Salı gününe kadar süre verdi.

Araştırmacılar, bir yamanın ciddiyetine ve kullanılabilirliğine rağmen, yöneticilerin düzeltmede yavaş kaldığını söyledi.

Cuma günü güvenlik firması Bishop Fox, Shodan arama motorunun sorgularından alınan verilere atıfta bulunarak, internette açığa çıkan etkilenen 489.337 cihazdan 335.923’ünün veya yüzde 69’unun yama yapılmadığını söyledi. Bishop Fox, savunmasız makinelerden bazılarının 2015’ten beri güncellenmemiş Fortigate yazılımını çalıştırdığını söyledi.

Bishop Fox’ta yetenek geliştirme direktörü Caleb Gross Cuma günkü gönderisinde “Vay canına – İnternette 8 yıllık FortiOS çalıştıran bir avuç cihaz var gibi görünüyor” diye yazdı. “10 metrelik direğe sahip olanlara dokunmam.”

Gross, Bishop Fox’un müşteri cihazlarını test etmek için bir güvenlik açığı geliştirdiğini bildirdi.

Yukarıdaki ekran görüntüsü, bilgisayar belleğinin çalışan uygulamalar için ayrılmış korunan bir alanı olan öbeği bozan kavram kanıtı istismarını göstermektedir. Bozulma, saldırgan tarafından kontrol edilen bir sunucuya bağlanan, Unix benzeri işletim sistemleri için BusyBox yardımcı programını indiren ve savunmasız makine tarafından komutların uzaktan verilmesine izin veren etkileşimli bir kabuk açan kötü amaçlı kod enjekte eder. İstismarın tamamlanması yalnızca bir saniye sürer. Hız, 13 Haziran’da piyasaya sürülen bir PoC Lexfo’ya göre bir gelişmedir.

Son yıllarda, birkaç Fortinet ürünü aktif olarak kullanılmaya başlandı. Şubat ayında, birden çok tehdit grubundan bilgisayar korsanları, bir ağa bağlı cihazları tanımlayan ve izleyen bir ağ erişim denetimi çözümü olan FortiNAC’taki kritik bir güvenlik açığından yararlanmaya başladı. Bir araştırmacı, CVE-2022-39952 olarak izlenen güvenlik açığının hedeflenmesinin, bilgisayar korsanlarına güvenliği ihlal edilmiş sistemlere uzaktan erişim sağlayan “çok sayıda web kabuğu kurulumuna” yol açtığını söyledi. Geçen Aralık ayında, bilinmeyen bir tehdit aktörü, FortiOS SSL-VPN’deki farklı bir kritik güvenlik açığından yararlanarak devlete ve devletle ilgili kuruluşlara gelişmiş özel yapım kötü amaçlı yazılımlar bulaştırdı. Fortinet, güvenlik açığını Kasım ayı sonlarında sessizce düzeltti, ancak vahşi saldırılar başlayana kadar bunu açıklamadı. Şirket, ürünlerindeki güvenlik açıklarını ifşa etme politikasının nedenini veya nedenini henüz açıklamadı. Ve 2021’de Fortinet’in FortiOS VPN’sindeki üç güvenlik açığı (ikisi 2019’da ve biri bir yıl sonra yamalandı) birden çok devlet, ticari ve teknoloji hizmetine erişmeye çalışan saldırganlar tarafından hedef alındı.

Şimdiye kadar, Fortinet’in devam ediyor olabileceğini söylediği CVE-2023-27997’nin aktif istismarları hakkında çok az ayrıntı var. Çince konuşan bir tehdit grubunun izleme adı olan Volt Typhoon, benzer yüksek önem derecesine sahip ayrı bir Fortigate güvenlik açığı olan CVE-2023-40684’ü aktif olarak kullandı. Fortinet, 12 Haziran tarihli açıklamasında, Fortinet’in FG-IR-23-097 dahili adı altında izlediği CVE-2023-27997’den yararlanmaya yönelmenin Volt Typhoon ile uyumlu olacağını söyledi.

“Şu anda FG-IR-23-097’yi Volt Typhoon kampanyasıyla ilişkilendirmiyoruz, ancak Fortinet, Volt Typhoon kampanyasının arkasındakiler de dahil olmak üzere tüm tehdit aktörlerinin yaygın olarak kullanılan yazılım ve cihazlardaki yamalanmamış güvenlik açıklarından yararlanmaya devam etmesini bekliyor.” Fortinet o zaman söyledi. Bu nedenle Fortinet, agresif bir yama kampanyasıyla acil ve sürekli hafifletme çağrısında bulunuyor.”

Getty Images tarafından listeleme resmi

RELATED ARTICLES

Popüler Konular