Fortinet, FortiOS SSL VPN’de büyük olasılıkla vahşi ortamda istismar edildiğini söylediği yeni bir kritik güvenlik açığını açıkladı.
Güvenlik açığı, CVE-2024-21762 (CVSS puanı: 9.6), isteğe bağlı kod ve komutların yürütülmesine olanak tanır.
“Sınırların dışında yazma güvenlik açığı [CWE-787] Şirket, FortiOS’un kimliği doğrulanmamış uzak bir saldırganın özel hazırlanmış HTTP istekleri aracılığıyla rastgele kod veya komut yürütmesine izin verebileceğini belirtti. söz konusu Perşembe günü yayınlanan bir bültende.
Ayrıca sorunun nasıl ve kim tarafından silahlandırıldığına ilişkin ek ayrıntı vermeden, sorunun “doğal ortamda istismar edilme potansiyeli” taşıdığını da kabul etti.
Aşağıdaki sürümler bu güvenlik açığından etkilenmektedir. FortiOS 7.6’nın etkilenmediğini belirtmekte fayda var.
- FortiOS 7.4 (7.4.0’dan 7.4.2’ye kadar olan sürümler) – 7.4.3 veya üstüne yükseltme
- FortiOS 7.2 (7.2.0’dan 7.2.6’ya kadar olan sürümler) – 7.2.7 veya üstüne yükseltme
- FortiOS 7.0 (7.0.0’dan 7.0.13’e kadar olan sürümler) – 7.0.14 veya üstüne yükseltme
- FortiOS 6.4 (sürüm 6.4.0 ila 6.4.14) – 6.4.15 veya üstüne yükseltme
- FortiOS 6.2 (sürüm 6.2.0 ila 6.2.15) – 6.2.16 veya üstüne yükseltme
- FortiOS 6.0 (sürüm 6.0 tüm sürümler) – Sabit bir sürüme geçiş yapın
Bu gelişme, Fortinet’in CVE-2024-23108 ve CVE-2024-23109 için yayınladığı yamalarla birlikte geliyor ve FortiSIEM denetçisini etkileyerek kimliği doğrulanmamış uzak bir saldırganın hazırlanmış API istekleri aracılığıyla yetkisiz komutlar yürütmesine olanak tanıyor.
Bu haftanın başlarında Hollanda hükümeti, silahlı kuvvetler tarafından kullanılan bir bilgisayar ağına Çin devleti destekli aktörler tarafından, COATHANGER adı verilen bir arka kapı sağlamak üzere Fortinet FortiGate cihazlarındaki bilinen kusurlardan yararlanılarak sızıldığını açıkladı.
Şirket, bu hafta yayınlanan bir raporda, yazılımındaki CVE-2022-42475 ve CVE-2023-27997 gibi N günlük güvenlik açıklarının hükümetleri, hizmet sağlayıcıları ve danışmanlık şirketlerini hedef almak için birden fazla faaliyet kümesi tarafından istismar edildiğini açıkladı. , üretim ve büyük kritik altyapı kuruluşları.
Daha önce Çinli tehdit aktörleri, BOLDMOVE, THINCRUST ve CASTLETAP gibi çok çeşitli implantları sunmak için Fortinet cihazlarındaki güvenlik kusurlarından sıfır gün istismarıyla ilişkilendirilmişti.
Bu aynı zamanda ABD hükümetinin Volt Typhoon adlı Çin ulus-devlet grubu hakkındaki tavsiyesinin de ardından geldi; bu grup, ağ oluşturma cihazlarındaki bilinen ve sıfır gün kusurlarından yararlanarak uzun vadeli keşfedilmemiş kalıcılık için ülkedeki kritik altyapıyı hedef aldı. İlk erişim için Fortinet, Ivanti Connect Secure, NETGEAR, Citrix ve Cisco’dan.
olan Çin reddedildi İddialar, ABD’yi kendi siber saldırılarını gerçekleştirmekle suçladı.
Aksine, Çin ve Rusya tarafından yürütülen kampanyalar, bu tür teknolojilerin uç nokta algılama ve yanıt (EDR) desteğinden yoksun olması ve bu teknolojilerin kötüye kullanıma uygun hale gelmesi nedeniyle son yıllarda internete bakan uç cihazların karşı karşıya olduğu büyüyen tehdidin altını çiziyor.
“Bu saldırılar, halihazırda çözümlenmiş N günlük güvenlik açıklarının ve ardından gelen güvenlik açıklarının kullanıldığını gösteriyor [living-off-the-land] Fortinet, “Bu tekniklerin, Volt Typhoon olarak bilinen ve bu yöntemleri kritik altyapıyı ve potansiyel olarak diğer komşu aktörleri hedef almak için kullanan siber aktör veya aktörler grubu tarafından kullanılan davranışların son derece göstergesi olduğunu” belirtti. söz konusu.
CISA, CVE-2024-21762’nin Kullanıldığını Doğruladı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 9 Şubat 2024’te, katma CVE-2024-21762’den Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) vahşi doğada aktif sömürünün kanıtlarını gösteren katalog.
Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını potansiyel tehditlere karşı güvence altına almak için 16 Şubat 2024’e kadar düzeltmeleri uygulama yetkisi verildi.