FortiOS 2FA Bypass Açığının Tehlikesi
Fortinet, müşterilerini, kritik bir FortiOS güvenlik açığının hala aktif olarak istismar edildiği konusunda uyarıyor. Bu açık, FortiGate güvenlik duvarlarını hedef alan siber saldırganların iki faktörlü kimlik doğrulamasını (2FA) bypass etmesine olanak tanıyor. CVE-2020-12812 olarak kaydedilen bu açık, FortiGate SSL VPN’de yer alıyor.
Açığın Çalışma Prensibi
CVE-2020-12812, saldırganların kullanıcı adının büyük-küçük harf duyarlılığını değiştirerek güvenlik duvarlarına giriş yapmalarına imkan tanıyor. Bu durum, kullanıcı kimlik doğrulamalarının “yerel kullanıcı” ayarı ile etkinleştirildiği ve uzaktan kimlik doğrulama (örneğin LDAP) yöntemi ile ayarlandığı durumlarda gerçekleşiyor. Fortinet, bu açığı 2020 Temmuz ayında düzelttiği açıklamasında; “Sorun, yerel ve uzaktan kimlik doğrulama arasında tutarsız büyük küçük harf eşleşmesinden kaynaklanıyor” diye belirtti.
Peki, Organizasyonlar Neyle Karşı Karşıya?
Son günlerde, Fortinet, saldırganların hâlâ CVE-2020-12812 ‘yi hedef alan saldırılar düzenlediğini bildirdi. Bu saldırılardan etkilenmek için, dolaylı kullanıcı girişleri bulunan organizasyonların, 2FA gerektiren hesaplarının LDAP ile bağlantılı olması gerekiyor. Ayrıca, bu kullanıcıların FortiGate üzerinde yapılandırılmış LDAP gruplarına dahil olması şart.
Fortinet, “Belirli yapılandırmalara dayanarak, Temmuz 2020’daki FG-IR-19-283 / CVE-2020-12812 açığının son dönemde kötüye kullanıldığını gözlemledik.” ifadesini kullandı.
Tehditlerin Ciddiyeti
2021 Nisan’da FBI ve CISA, devlet destekli hackerların Fortinet FortiOS sistemlerini hedef alarak birçok açığı istismar ettiğini duyurdu. CVE-2020-12812’nin de bu saldırılar içinde yer aldığı ifade edildi. Yedi ay sonra, CISA, CVE-2020-12812’yi bilinen istismar edilen açıklar kataloğuna ekleyerek, federal ajansların sistemlerini 2022 Mayıs’a kadar güvence altına almalarını talep etti.
Özellikle Fortinet açıkları, genellikle sıfır gün (zero-day) açıktır ve bu tür açıklar sıklıkla kötü niyetli saldırganlar tarafından hedef alınmaktadır. Örneğin, geçen Kasım ayında, Fortinet, FortiWeb için aktif olarak istismar edilen bir sıfır gün açığına dikkat çekti.
Güvenlik Önlemleri ve Öneriler
Fortinet, 2020 Temmuz ayında açığı kapatmak için FortiOS’un 6.4.1, 6.2.4 ve 6.0.10 versiyonlarını yayımladı. Güvenlik güncellemesi uygulanamayan sistem yöneticileri için kullanıcı adlarının büyük-küçük harf duyarlılığını devre dışı bırakma önerisinde bulundu. Bunun yanı sıra, eğer ikinci bir LDAP grubu gerekmiyorsa, olası bir güvenlik açığına yol açmamak adına bu grubun kaldırılması gerektiği belirtiliyor.
Sonuç olarak, Fortinet kullanıcıları için bu güvenlik açığı, aktif tehditlerin hâlâ mevcut olduğunu gösteriyor. Yapılandırmalarınızı dikkatle incelemek, gerekli güncellemeleri yapmak ve 2FA uygulamanızı gözden geçirmek, sistem güvenliğinizi artırmak için atılacak en önemli adımlardandır. Unutmayın, herhangi bir güvenlik açığı, büyük kayıplara yol açabilir.
