Fortinet, tehdit aktörlerinin uzaktan erişimine izin veren ve vahşi ortamda kötüye kullanılan birden fazla hizmette yüksek önem derecesine sahip bir güvenlik açığını yamaladı.
Geçen hafta sonlarında yayınlanan bir güvenlik tavsiyesinde şirket, kusuru yönetici arayüzünde bir kimlik doğrulama atlaması olarak tanımladı ve kimliği doğrulanmamış kişilerin FortiGate güvenlik duvarlarına, FortiProxy web proxy’lerine giriş yapmasına izin verdi. (yeni sekmede açılır)ve FortiSwitch Manager şirket içi yönetim örnekleri.
Kusur, CVE-2022-40684 olarak izleniyor.
Acil konular
“Alternatif bir yol veya kanal güvenlik açığı kullanan bir kimlik doğrulama atlaması [CWE-288] FortiOS’ta FortiProxy ve FortiSwitchManager, kimliği doğrulanmamış bir saldırganın özel hazırlanmış HTTP veya HTTPS istekleri aracılığıyla yönetim arayüzünde işlem yapmasına izin verebilir.” Fortinet’in duyurusu şöyle:
Şirket ayrıca yamanın bu Perşembe günü yayınlandığını ve bazı müşterilerini e-posta yoluyla bilgilendirdiğini ve onları uzaktan yönetim kullanıcı arayüzlerini “en büyük aciliyetle” devre dışı bırakmaya çağırdığını da sözlerine ekledi.
Yamayı yayınladıktan birkaç gün sonra şirket, kusurdan yararlanan en az bir gerçek hayat kampanyasının kanıtını bulduğunu iddia ederek daha fazla ayrıntı verdi:
Şirket, “Fortinet, bu güvenlik açığından yararlanılan bir örneğin farkındadır ve sistemlerinizin, cihazın günlüklerinde aşağıdaki güvenlik açığı göstergesine karşı derhal doğrulanmasını önerir: user=”Local_Process_Access”, dedi şirket.
Bunlar hemen yamalanması gereken Fortinet ürünleridir:
- FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiSwitchManager : 7.2.0, 7.0.0
Göre BleeBilgisayaren az 140.000 FortiGate güvenlik duvarı (yeni sekmede açılır) İnternet üzerinden erişilebileceğini ve yönetici yönetim arayüzleri de açığa çıkarsa saldırılara “muhtemelen” maruz kalabileceklerini söyledi. Uç noktalarına hemen yama yapamayanların, HTTP/HTTPS yönetici arayüzlerini devre dışı bırakarak saldırganları engellemesi veya Local in Policy üzerinden erişimi olan IP adreslerini sınırlaması gerektiği açıklandı.
Fortinet, “Bu cihazlar zamanında güncellenemiyorsa, yükseltme gerçekleştirilinceye kadar internete yönelik HTTPS Yönetimi derhal devre dışı bırakılmalıdır.”
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
