Araştırmacılar, satıcının Haziran 2023’te açıkladığı ve yamaladığı Fortinet’in FortiGate SSL VPN’lerindeki kritik bir uzaktan kod yürütme (RCE) güvenlik açığı için yararlanma kodu yazdı.
Açıktan yararlanmayı geliştiren Bishop Fox’un araştırma ekibi, şu anda kusura karşı yama uygulanmamış ve saldırıya açık durumda olan yaklaşık 340.000 FortiGate cihazının etkilendiğini tahmin ediyor. Bu sayı, birçok araştırmacının tahmin ettiği 250.000 FortiGate cihazından önemli ölçüde daha yüksek.
Kod Herkese Açık Olarak Yayınlanmadı – Ancak Bir GIF Var
“Etkilenen 490.000 kişi var. [FortiGate] Bishop Fox’un yetenek geliştirme direktörü Caleb Gross, 30 Haziran’da bir blog gönderisinde, SSL VPN arayüzleri internette açığa çıktı ve bunların kabaca %69’u şu anda yamalanmamış durumda.
CVE-2023-27997 olarak izlenen yığın tabanlı arabellek taşması güvenlik açığı, FortiOS ve FortiProxy SSL-VPN yazılımının birden çok sürümünü etkiler. Kimliği doğrulanmamış, uzaktaki bir saldırgana, etkilenen bir cihazda rasgele kod yürütme ve tüm kontrolünü ele geçirme yolu verir. Kusuru keşfeden Fransız siber güvenlik firması Lexfo’dan araştırmacılar, kusuru şu şekilde değerlendirdi: her bir SSL VPN’i etkiliyor FortiOS çalıştıran cihaz.
Bishop Fox, istismar kodunu herkese açık olarak yayınlamadı. Ancak blog gönderisinde kullanımda olan bir GIF var. Brüt, istismarı anlattı Bishop Fox geliştirdi saldırganlara etkilenen bir FortiGate aracıyla iletişim kurmak için kullanabilecekleri etkileşimli bir kabuğu açma yolu veriyor.
Gross, “Bu istismar, Lexfo’nun orijinal blog gönderisinde ayrıntılı olarak açıklanan adımları çok yakından takip ediyor, ancak o gönderide bahsedilmeyen birkaç ekstra adım atmamız gerekti,” diye yazdı. “İstismar yaklaşık bir saniye içinde çalışır, bu da Lexfo tarafından gösterilen 64 bitlik bir cihazdaki demo videodan önemli ölçüde daha hızlıdır.”
Fortinet ürün yazılımı güncellemeleri yayınladı O sırada şirket, kusurun hükümet, imalat ve diğer kritik altyapı sektörlerindeki kuruluşları etkilediğini söyledi. Fortinet, sınırlı sayıda vakada bir saldırganın güvenlik açığından yararlandığının farkında olduğunu söyledi.
Fortinet, Volt Typhoon siber casusluk kampanyasının arkasındakiler gibi tehdit aktörlerinin CVE-2023-27997’yi kötüye kullanma potansiyeli konusunda uyarıda bulundu. Volt Typhoon, hassas verileri çalmak ve diğer kötü niyetli eylemleri gerçekleştirmek için ABD telekom şirketlerine ve diğer kritik altyapı kuruluşlarına ait ağlara kalıcı erişim sağladığına inanılan Çin merkezli bir gruptur. Şimdiye kadarki kampanyada öncelikle başka bir eski Fortinet kusuru kullanıldı (CVE-2022-40684) ilk erişim için. Ancak Fortinet, kuruluşların CVE-2023-27997’yi kullanan Volt Typhoon ve diğer tehdit aktörleri olasılığını göz ardı etmemesi gerektiği konusunda uyardı.
Güvenlik Araçları Neden Popüler Hedefler Olur?
CVE-2023-27997, ortaya çıkan çok sayıda kritik Fortinet güvenlik açığından biridir. Neredeyse tüm diğer güvenlik duvarı ve VPN satıcıları gibi, Fortinet’in cihazları da kurumsal ağlara sağladıkları erişim nedeniyle düşmanlar için popüler bir hedef.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve diğerleri, son yıllarda kuruluşların bu ve diğer ağ cihazlarındaki güvenlik açıklarını, saldırganların bilgisayarlara yönelik yüksek ilgisi nedeniyle derhal ele alma ihtiyacı hakkında çok sayıda tavsiye yayınladı. onlara.
Örneğin, Haziran 2022’de, CISA, Çin destekli tehdit aktörleri konusunda uyardı geniş bir satıcı yelpazesinden ağ cihazlarındaki yama uygulanmamış güvenlik açıklarını aktif olarak hedefleme. Danışma belgesi, bu güvenlik açıklarının en yaygın olanlarının bir listesini içeriyordu. Liste, Fortinet, Cisco, Citrix, Netgear, Pulse, QNAP ve Zyxel ürünlerindeki güvenlik açıklarını içeriyordu.
Tanium’un baş güvenlik danışmanı Timothy Morris, uygulama ağ geçitlerini çalıştıran cihazlarla uğraşırken sabit yazılıma yama uygulamak biraz daha külfetli olabilse de, sistem yöneticilerinin mümkün olduğu kadar çabuk yama yapması gerektiğini söylüyor. Genellikle, Fortinet’inkiler gibi cihazlar çevreye bakar ve çok yüksek kullanılabilirlik gereksinimlerine sahiptir, yani değişim için dar pencereleri vardır.
Morris, “Çoğu kuruluş için belirli bir kesinti süresi muhtemelen kaçınılmazdır” diyor. CVE-2023-27997 gibi güvenlik açıkları, tam ürün yazılımı görüntüsünün yeniden yüklenmesini gerektirir, bu nedenle belirli bir süre ve risk söz konusudur, diye ekliyor. “Yapılandırmaların beklendiği gibi çalıştıklarından emin olmak için yedeklenmesi ve geri yüklenmesi gerekiyor.”