Fortinet FortiWeb Güvenlik Açığı: Yönetici Hesapları Oluşturma Riski
Son günlerde Fortinet FortiWeb sisteminde keşfedilen bir güvenlik açığı, tehlikeli bir şekilde istismar ediliyor. Bu güvenlik açığı, yetkilendirme gerektirmeden yeni yönetici kullanıcıları oluşturma imkanı sunuyor. Şu anda aktif olarak kullanan cihazları hedef alan saldırılar, dünya genelinde hızla yayılıyor.
Açığın Teknik Detayları
Güvenlik açığı, yol geçişi (path traversal) sorununa dayanmaktadır ve Fortinet’in sistemine bağlı birkaç API üzerinden istismar edilmektedir. Belirli bir endpoint olan /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi adresine yapılan HTTP POST istekleri ile saldırganlar, yerel yönetici düzeyinde hesaplar oluşturabiliyor.
Tehdit istihbarat şirketi Defused tarafından 6 Ekim’de bildirilen bu istismar, hızla global düzeyde yayılmaya başladı. Araştırmalar, saldırganların kullandığı çeşitli kullanıcı adı ve şifre kombinasyonlarını içermektedir. Örneğin, kullanıcı adı olarak Testpoint, trader1, trader gibi isimler kullanılırken, şifreler arasında 3eMIXX43 ve AFT3$tH4ck gibi tercihler yer alıyor.
Saldırıların Kaynağı ve Önlemler
Saldırılar, geniş bir IP adresi yelpazesinden gelmektedir. Öne çıkan bazı IP adresleri şunlardır:
- 107.152.41.19
- 144.31.1.63
- 185.192.70.0/24 aralığındaki adresler
- 64.95.13.8 (orijinal rapordan)
Güvenlik araştırmacıları, watchTowr Labs, bu açığı doğrulayan bir video yayınladı. Videoda, başarısız bir FortiWeb girişiminden sonra açığın başarılı bir şekilde nasıl kullanıldığı gösteriliyor. Ayrıca, kullanıcılara açık olan sistemleri tespit edebilmek için “FortiWeb Authentication Bypass Artifact Generator” adında bir araç da yayınlandı.
Kapatma ve Güncelleme Önerileri
Fortinet, bu açığı 8.0.2 sürümünde kapattı. Yöneticilerin, bu güncellemeyi bir an önce yapmaları ve izin verilmeyen erişim belirtilerini kontrol etmeleri önemlidir. Ayrıca, yönetici hesaplarına dair şüpheli aktiviteler ve fwbcgi yoluna yapılan istekleri incelemeleri önerilmektedir.
Yöneticiler, bu yönetim arayüzlerinin internetten erişilebilir olmadığından emin olmalı ve yalnızca güvenilir ağlarla veya VPN üzerinden erişime izin vermelidir. Bu tür önlemler, potansiyel saldırıları engellemek ve sistemlerini korumak için kritik öneme sahiptir.
Sonuç olarak, bu güvenlik açığı, yalnızca FortiWeb kullanıcılarını değil, aynı zamanda tüm bilgi güvenliği alanını etkilemektedir. Yöneticilerin, güncellemeleri yapması ve sistemlerini sürekli izlemeleri, böyle bir durumda karşılaşabilecekleri riskleri en aza indirecektir.
