Bazı Fortinet cihazlarında kritik bir kimlik doğrulama açığına ilişkin endişeler, bu hafta kavram kanıtı (PoC) açıklarından yararlanma kodunun piyasaya sürülmesi ve kusur için güvenlik açığı taramalarında büyük bir artış ile arttı.
Hata (CVE-2022-40684) Fortinet’in FortiOS, FortiProxy ve FortiSwitchManager teknolojilerinin birden çok sürümünde mevcuttur. Kimliği doğrulanmamış bir saldırganın, özel hazırlanmış HTTPS ve HTTP istekleri aracılığıyla etkilenen ürünlere yönetici erişimi elde etmesine ve bunu potansiyel olarak ağın geri kalanına giriş noktası olarak kullanmasına olanak tanır.
Qualys’teki güvenlik açığı tehdidi araştırması direktörü Bharat Jogi, şirketteki araştırmacıların, İnternet’teki güvenlik açığı bulunan sistemleri uzlaşma için belirlemek için çeşitli tehdit aktörleri tarafından yürütülen toplu taramaları gözlemlediklerini söyledi.
Jogi, “Onlara tam erişim ve kontrol sağlayan bir super_admin kullanıcısı oluşturmak için bu sistemleri tehlikeye atıyorlar” diyor. “Bu erişim düzeyine ulaşıldığında, başarılı istismar girişimlerinin herhangi bir izini silme yeteneğine sahip oluyorlar ve bu da kuruluşların ortamlarında güvenliği ihlal edilmiş varlıkları izlemesini zorlaştırıyor.”
Bu açıktan başarıyla yararlanılırsa, bir saldırganın daha önce Fortinet’in güvenlik duvarları tarafından korunan kuruluşun dahili sistemlerine tam erişime sahip olacağını söylüyor. Jogi, “Güvenliği ihlal edilmiş bir güvenlik duvarına sahip olmak, tehdit aktörlerinin doğrudan kuruluşunuzun ortamına girmesi için kırmızı bir halı döşemek gibidir” diyor.
CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna Eklendi
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bu haftanın başlarında, Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna güvenlik açığını ekledi. Katalogdaki güvenlik açıklarını belirli son tarihler içinde düzeltmesi gereken federal yürütme organı kurumlarının bu sorunu çözmek için 1 Kasım’a kadar süreleri var. Son tarih yalnızca federal kurumlar için geçerli olsa da, güvenlik uzmanları daha önce tüm kuruluşların katalogdaki güvenlik açıklarını izlemesinin ve düzeltmeleri uygulamak için CISA’nın son tarihini izlemesinin ne kadar iyi bir fikir olduğunu belirtmişti.
Fortinet, şirketin henüz piyasaya sürdüğü teknolojinin yamalı sürümlerine hemen güncelleme yapma talimatlarıyla birlikte, etkilenen ürünler hakkında geçtiğimiz Cuma günü özel olarak müşterilerini bu güvenlik açığı hakkında bilgilendirdi. Herhangi bir nedenle güncelleme yapamayan şirketlere, yama uygulanmış sürümlere yükseltme yapana kadar İnternet’e yönelik HTTPS yönetimini hemen devre dışı bırakmalarını tavsiye etti.
Fortinet özel bildiriminde, “Bu sorundan uzaktan yararlanma yeteneği nedeniyle, Fortinet, savunmasız sürümlere sahip tüm müşterilere acil bir yükseltme yapmalarını şiddetle tavsiye ediyor” dedi. kopyası Aynı gün Twitter’da yayınlandı.
Fortinet takip etti genel güvenlik açığı danışmanlığı Pazartesi günü, kusuru açıklayarak ve müşterileri potansiyel istismar faaliyeti konusunda uyardı. Şirket, saldırganların etkilenen sistemlerden yapılandırma dosyasını indirmek ve “fortigate-tech-support” adlı kötü niyetli bir super_admin hesabı eklemek için güvenlik açığından yararlandığı durumların farkında olduğunu söyledi.
O zamandan beri Horizon3.ai’den sızma testi, güvenlik açığından yararlanmak için bir kavram kanıtı kodu yayınladı. teknik derin dalış kusurun. için bir şablon güvenlik açığı taraması GitHub’da da kullanıma sunuldu.
Endişeleri şiddetlendirmek, kusurdan yararlanmak için nispeten düşük bir çıtadır. Horizon3.ai’nin baş saldırı mühendisi Zach Hanley, Dark Reading’e “Bu güvenlik açığı, bir saldırganın istismar etmesi için son derece kolaydır. Tek gereken, savunmasız bir sistemdeki yönetim arayüzüne erişimdir” diyor.
Kusur için Tarama Etkinliğinde Artış
Kusur için artan güvenlik açığı taraması gözlemleyen tek şirket Qualys değil. Horizon3.ai’deki istismar geliştiricisi James Horseman, güvenlik araçlarına isabet eden İnternet tarama etkinliğini izleyen GreyNoise’dan gelen herkese açık verilerin, istismarı kullanan benzersiz IP’lerin sayısının birkaç gün önce tek hanelerden büyüdüğünü ve Ekim itibariyle kırkın üzerine çıktığını gösterdiğini söylüyor. 14.
Horseman, “Bu istismarı kullanan benzersiz IP’lerin sayısının önümüzdeki günlerde hızla artmasını bekliyoruz” diyor. Saldırganların savunmasız sistemleri bulması zor değil, diye ekliyor: Örneğin bir Shodan araması dünya çapında 100.000’den fazla Fortinet sistemini gösteriyor.
Horseman, “Bunların hepsi savunmasız olmayacak, ancak büyük bir yüzdesi olacak” diyor.
SANS Enstitüsü’nün araştırma dekanı Johannes Ullrich, daha eski bir FortiGate güvenlik açığıyla ilişkili taramaları gözlemlediğini söylüyor (CVE-2018-13379,) yeni hatanın açıklanmasını takip eden günlerde SANS’ın balküplerine isabet ediyor. Bunun neden olabileceğine dair iki teori olduğunu söylüyor.
Bunlardan biri, bir saldırganın, eski güvenlik açığı için henüz düzeltme eki uygulanmamış mümkün olduğunca çok sayıda cihazı yakalamaya çalışmış olabileceğidir. Yeni güvenlik açığının gördüğü ilgi göz önüne alındığında, eski güvenlik açığının da şimdi düzeltileceğini söylüyor.
“Ya da saldırgan, mevcut olduğunda yeni güvenlik açığını kullanarak yararlanmak için Fortinet cihazlarını bulmaya çalışıyordu” diye teoride bulunuyor. “Rafta oturdukları eski güvenlik açığı tarayıcısı, Fortinet cihazlarını tanımlamak için hala çalışabilir.”
Popüler Bir Saldırgan Hedefi
Fortinet ürünlerindeki güvenlik açıklarıyla ilgili endişeler yeni değil. Şirketin teknolojileri ve benzer cihazları satan diğerlerinin teknolojileri, hedef ağ üzerinde bir başlangıç noktası elde etmeye çalışan saldırganlar tarafından sıklıkla hedef alınıyor.
Geçen Kasım. FBI, CISA ve diğerleri bir tavsiye yayınladı Fortinet ve Microsoft ürünlerindeki güvenlik açıklarından yararlanan İranlı ileri düzey kalıcı tehdit aktörlerinin uyarısı. Nisan 2021’deki benzer bir uyarı, saldırganların FortiOS’taki kusurlardan yararlanarak birden çok sisteme girmeleri konusunda uyardı. hükümet, ticari ve teknoloji hizmetleri.
Hanley, “Bu savunmasız cihazlar genellikle uç cihazlardır, bu nedenle bir saldırgan bu güvenlik açığını bir kuruluşun dahili ağlarına erişmek ve daha fazla saldırı başlatmak için kullanabilir” diyor.
Fortinet’in kendisi, yapabilen kuruluşların FortiOS, FortiProxy ve FortiSwitch Manager’ın yeni yamalı sürümlerine güncelleme yapmalarını önerdi. Hemen güncelleme yapamayan kuruluşlar için Fortinet, HTTP/HTTPS arayüzünün nasıl devre dışı bırakılacağı veya etkilenen ürünlerin yönetim arayüzüne ulaşabilen IP adreslerinin nasıl sınırlandırılacağı konusunda rehberlik sağlamıştır.
Hanley, kuruluşların bazen bir cihazı güncellemeyle ilgili olası kapalı kalma süresi nedeniyle yama yapamayabileceğini söylüyor. “Ancak, bir kuruluş başvurabilmelidir [the] Fortinet’in rehberliği izlenerek bu güvenlik açığının yama uygulanmamış makinelerde istismar edilmesini önlemek için geçici bir çözüm.”
Qualys’ Jogi, “Zaten güvenliği ihlal edilmiş olabilecek sistemleri belirlemek için herhangi bir istismar girişimini incelemek de çok önemlidir. Bir kuruluş sistemlerine yama yapamıyorsa, sistem yöneticisi arayüzünü derhal devre dışı bırakmalıdır.”
