CISA bugün saldırganların Perşembe günü Fortinet tarafından düzenlenmiş kritik bir uzaktan kod yürütme (RCE) hatasını aktif olarak kullandıklarını doğruladı.
Kusur (CVE-2024-21762), Fortios işletim sisteminde ve fortiproxy güvenli Web proxy'sinde, kötüleştirilmemiş saldırganların kötü niyetli olarak hazırlanmış HTTP isteklerini kullanarak keyfi kod yürütmesine izin verebilecek sınır dışı bir zayıflıktan kaynaklanmaktadır.
Güvenlik güncellemelerini savunmasız cihazlara hemen dağıtamayan yöneticiler, cihazda SSL VPN'yi devre dışı bırakarak saldırı vektörünü kaldırabilir.
Cisa'nın duyurusu, Fortinet'in kusurun "potansiyel olarak vahşi doğada sömürüldüğünü" belirten bir güvenlik danışmanlığı yayınlamasından bir gün sonra geliyor.
Şirket, potansiyel CVE-2022-48618 ile ilgili daha fazla ayrıntı paylaşmamış olsa da, CISA, bilinen sömürülen güvenlik açıkları kataloğuna kırılganlığı ekledi ve bu tür hataların federal için önemli riskler olduğu konusunda " girişim."
Siber güvenlik ajansı ayrıca ABD federal ajanslarına, Kasım 2021'de yayınlanan bağlayıcı operasyonel direktifin (BOD 22-01) gerektirdiği şekilde 16 Şubat'a kadar bu güvenlik hatasına karşı Fortios ve Fortiproxy cihazlarını güvence altına almalarını emretti.
Fortinet, bu hafta Fortisiem çözümünde iki kritik RCE güvenlik açığını (CVE-2024-23108 ve CVE-2024-23109) yamaladı.
Başlangıçta, şirket CVES'in gerçek olduğunu reddetti ve Ekim ayında sabitlenen benzer bir kusurun (CVE-2023-34992) kopyaları olduklarını iddia etti.
Bununla birlikte, Fortinet'in ifşa süreci çok kafa karıştırıcıydı, şirket ilk olarak CVES'in gerçek olduğunu inkar ediyor ve Ekim ayında sabit bir kusurun (CVE-2023-34992) kopyaları olarak bir API sorunu nedeniyle yanlışlıkla üretildiklerini iddia ediyordu.
Daha sonra ortaya çıktığı gibi, hatalar Horizon3 güvenlik açığı uzmanı Zach Hanley tarafından keşfedildi ve bildirildi, şirket sonunda iki CVVE'nin orijinal CVE-2023-34992 hatasının varyantları olduğunu itiraf etti.
Uzaktan kimliği doğrulanmamış saldırganlar bu güvenlik açıklarını savunmasız cihazlarda keyfi kod yürütmek için kullanabildiğinden, tüm Fortinet cihazlarını mümkün olan en kısa sürede güvence altına almanız şiddetle tavsiye edilir.
Fortinet kusurları (birçok kez sıfır gün) siber casusluk kampanyalarında ve fidye yazılımı saldırılarında kurumsal ağları ihlal etmeyi hedeflemektedir.
Örneğin, Fortinet Çarşamba günü yaptığı açıklamada, Çin Volt Typhoon Hacking Grubunun, Coathanger özel kötü amaçlı yazılımlarını dağıttıkları saldırılarda iki FortiOS SSL VPN kusuru (CVE-2022-42475 ve CVE-2023-27997) kullandığını söyledi.
Coathanger, ağ güvenlik cihazlarını zorlayan ve yakın zamanda Hollanda Savunma Bakanlığı'nın askeri ağını geri almak için kullanılan uzaktan erişim Truva atı (sıçan).
SSL VPN'deki yeni Fortinet RCE kusuru muhtemelen saldırılarda sömürüldü
CISA: Eleştirel Ivanti Auth Bypass Bug artık aktif olarak sömürüldü
CISA: Roundcube e -posta sunucusu hatası artık saldırılarda kullanıldı
CISA, federal ajanslara Cumartesi gününe kadar Ivanti VPN aletlerini ayırmasını emreder
Cisa, şimdi saldırılarda sömürülen yamalı iPhone çekirdek böceğini uyarıyor
Kaynak: Bleeping Computer