Fortinet FortiWeb yol geçiş güvenlik açığı, kimlik doğrulama gerektirmeden açık cihazlarda yeni yönetici kullanıcılar oluşturmak için aktif olarak kullanılıyor.
Sorun FortiWeb 8.0.2'de düzeltildi ve yöneticilerin mümkün olan en kısa sürede güncelleme yapması ve yetkisiz erişim işaretlerini kontrol etmesi isteniyor.
Bu istismar ilk olarak 6 Ekim'de tehdit istihbarat şirketi Defused tarafından fark edildi ve bu şirket, yönetici hesapları oluşturmak için açığa çıkan cihazlarda "Bilinmeyen Fortinet istismarının" kullanıldığını bildirdi.
O zamandan bu yana saldırılar arttı ve tehdit aktörleri artık bu istismarı dünya çapında yaygınlaştırıyor.
PwnDefend ve Defused'dan Daniel Card tarafından yayınlanan yeni araştırmaya göre kusur, aşağıdaki Fortinet uç noktasını etkileyen bir yol geçiş sorunudur:
Tehdit aktörleri, hedeflenen cihazda yerel yönetici düzeyinde hesaplar oluşturan yükleri içeren bu yola HTTP POST istekleri gönderiyor.
Araştırmacılar tarafından gözlemlenen istismar, Testpoint, trader1 ve trader gibi kullanıcı adlarıyla birden fazla oluşturulmuş kullanıcı adı ve şifre kombinasyonunu içeriyor. Hesaplara atandığı görülen şifreler arasında 3eMIXX43, AFT3$tH4ck ve AFT3$tH4ckmet0d4yaga!n yer alıyor.
Saldırılar, aşağıdakiler de dahil olmak üzere çok çeşitli IP adreslerinden kaynaklandı:
WatchTowr Labs'taki güvenlik araştırmacıları, X üzerinde başarısız bir FortiWeb oturum açma girişimini, açıktan yararlanma işleminin yürütülmesini ve yeni oluşturulan yönetici kullanıcı olarak başarılı bir şekilde oturum açmayı gösteren bir video yayınlayarak bu istismarı doğruladı.
watchTowr ayrıca, UUID'den türetilmiş 8 karakterlik rastgele bir kullanıcı adına sahip bir yönetici kullanıcı oluşturarak bu kusurdan yararlanmaya çalışan "FortiWeb Kimlik Doğrulaması Bypass Artifact Generator" adlı bir araç da yayınladı.
Araç, savunucuların savunmasız cihazları belirlemesine yardımcı olmak için piyasaya sürüldü.
Açıklardan yararlanmayı birden fazla sürümde test eden Rapid7'ye göre kusur, FortiWeb'in 8.0.1 ve önceki sürümlerini etkiliyor. Kusur, Ekim ayının sonunda piyasaya sürüldüğüne inanılan 8.0.2 sürümünde giderildi.
Ancak BleepingComputer, Fortinet'in PSIRT sitesinde, istismar edilenle eşleşen bir FortiWeb güvenlik açığına ilişkin herhangi bir açıklama bulamadı.
BleepingComputer, bildirilen bu istismarla ilgili sorularını Fortinet'e iletti ve bir yanıt aldığımızda hikayemizi güncelleyecek.
Güvenlik açığından aktif olarak yararlanıldığı görüldüğünden, yöneticilerin cihazlarını olağandışı yönetim hesapları açısından incelemesi, fwbcgi yoluna yönelik istekler için günlükleri kontrol etmesi ve belirlenen şüpheli IP adreslerinden gelen etkinlikleri araştırması gerekir.
Yöneticiler ayrıca bu yönetim arayüzlerinin internetten erişilemediğinden ve güvenilir ağlarla veya yalnızca VPN erişimiyle sınırlı olduğundan emin olmalıdır.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Gladinet, dosya paylaşım yazılımında aktif olarak kullanılan sıfır gün düzeltmelerini düzeltiyor
Fortinet, saldırılarda istismar edilen FortiWeb sıfır gün için sessiz yamayı doğruladı
Palo Alto Networks giriş portallarını hedef alan taramalarda büyük artış
Bilgisayar korsanları uzaktan erişim araçlarını dağıtmak için Triofox antivirüs özelliğini kötüye kullanıyor
Yaklaşık 50.000 Cisco güvenlik duvarı aktif olarak istismar edilen kusurlara karşı savunmasız
Kaynak: Bleeping Computer