Fortinet, Fortios ve Fortiproxy'yi etkileyen "kritik" bir güvenlik açığını açıkladı, bu da kimlik doğrulanmamış bir saldırganın keyfi kod yürütmesine veya özel hazırlanmış istekler kullanarak savunmasız cihazların GUI'sinde hizmet reddi (DOS) gerçekleştirmesine izin verdi.
Bu tampon düşük akış güvenlik açığı CVE-2023-25610 olarak izlenir ve 9.3 CVSS V3 skoruna sahiptir ve kritik derecelendirir. Bu tür bir kusur, bir program bir bellek arabelleğinden mevcut olandan daha fazla veri okumaya çalıştığında, bitişik bellek konumlarına erişmeye ve riskli davranışlara veya çökmelere yol açmaya neden olduğunda ortaya çıkar.
Dün Fortinet tarafından yayınlanan güvenlik danışmanlığı, şu anda vahşi doğada herhangi bir aktif sömürü vakasının farkında olmadığını ve aşağıdaki ürünleri etkilediğini söylüyor:
CVE-2023-25610 güvenlik açığını düzelten hedef yükseltme sürümleri şunlardır:
Fortinet, güvenlik bülteninde listelenen elli cihaz modelinin, kusurun keyfi kod yürütme bileşeninden değil, savunmasız bir Fortios versiyonunu çalıştırsalar bile sadece hizmet reddi kısmından etkilenmediğini söylüyor.
Danışmanlıkta listelenmeyen cihaz modelleri her iki soruna da savunmasızdır, bu nedenle yöneticiler mevcut güvenlik güncellemelerini en kısa zamanda uygulamalıdır.
Güncellemeleri uygulayamayanlar için Fortinet, HTTP/HTTPS yönetim arayüzünü devre dışı bırakmanın veya uzaktan erişebilecek IP adreslerini sınırlamanın geçici çözümünü önerir.
Varsayılan liman kullanımı vakalarını da kapsayan geçici çözümlerin nasıl uygulanacağına dair talimatlar Güvenlik Danışmanlığına dahil edilmiştir.
Tehdit aktörleri, Fortinet ürünlerini etkileyen eleştirel-şiddetli kusurlara, özellikle de kurumsal ağlara ilk erişim elde etmek için bir yöntem sağladıkları için sömürmek için kimlik doğrulaması gerektirmeyenler için bir göz kulak olurlar. Bu nedenle, bu güvenlik açığını hızlı bir şekilde azaltmak zorunludur.
Örneğin, 16 Şubat'ta Fortinet, Fortinac ve FortiWeb ürünlerini etkileyen iki kritik uzaktan kod yürütme kusurunu düzelterek kullanıcıları güvenlik güncellemelerini hemen uygulamaya çağırdı.
Kusurdan yararlanmak için bir çalışma kavram kanıtı sadece dört gün sonra kamuya açıklandı ve vahşi doğada aktif sömürü 22 Şubat 2023'te başladı.
Cisco Yamalar Kritik Web UI RCE Kusurlu Birden Fazla IP Telefonlarda
Fortinet, Fortinac ve Fortiweb'de kritik RCE kusurlarını düzeltir
CISA, hackerların ZK Java Çerçevesi RCE Kusurdan yararlanması konusunda uyarıyor
Kritik Fortinet RCE kusuru için piyasaya sürülen istismar, şimdi yama
Auth0, 22.000 proje tarafından kullanılan JsonWebtoken Kütüphanesinde RCE kusurunu düzeltiyor
Kaynak: Bleeping Computer