Fortinet bugün, geçen hafta yamalanan kritik bir kimlik doğrulama atlama güvenlik açığının vahşi ortamda istismar edildiğini doğruladı.
Güvenlik açığı (CVE-2022-40684), uzak tehdit aktörlerinin FortiGate güvenlik duvarlarına, FortiProxy web proxy’lerine ve FortiSwitch Manager (FSWM) şirket içi yönetim örneklerine giriş yapmalarını sağlayan yönetim arayüzünde bir auth bypass’tır.
“Alternatif bir yol veya kanal güvenlik açığı kullanan bir kimlik doğrulama atlaması [CWE-288] FortiOS’ta FortiProxy ve FortiSwitchManager, kimliği doğrulanmamış bir saldırganın özel hazırlanmış HTTP veya HTTPS istekleri aracılığıyla yönetim arayüzünde işlem yapmasına izin verebilir.” danışma bugün yayınlandı.
Şirket, Perşembe günü bu kusuru gidermek için güvenlik güncellemeleri yayınladı. Ayrıca bazı müşterilerini uyardı Etkilenen cihazlarda uzaktan yönetim kullanıcı arayüzlerini “son derece acil bir şekilde” devre dışı bırakmak için e-posta (“gelişmiş iletişim” olarak adlandırılır) aracılığıyla.
Bir Fortinet sözcüsü, BleepingComputer Cuma günü ulaştığında güvenlik açığından aktif olarak yararlanılıp yararlanılmadığı sorulduğunda yorum yapmayı reddetti ve şirketin önümüzdeki günlerde daha fazla bilgi paylaşacağını ima etti.
Bugün, özel tavsiyeyi yayınladıktan günler sonra, Fortinet sonunda CVE-2022-40684’ün istismar edildiği en az bir saldırı olduğunu bildiğini itiraf etti.
Şirket, “Fortinet, bu güvenlik açığından yararlanılan bir örneğin farkındadır ve sistemlerinizin, cihazın günlüklerinde aşağıdaki güvenlik açığı göstergesine karşı derhal doğrulanmasını önerir: user=”Local_Process_Access”, dedi şirket.
Yama uygulanmadığı takdirde CVE-2022-40 kusurundan yararlanmaya çalışan saldırılara maruz kalan Fortinet’in savunmasız ürünlerinin tam listesi şunları içerir:
- FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
- FortiSwitchManager : 7.2.0, 7.0.0
Fortinet geçen hafta güvenlik yamalarını yayınladı ve müşterilerinden, cihazlarını saldırılara karşı korumak için savunmasız cihazlarını FortiOS 7.0.7 veya 7.2.2 ve üzeri, FortiProxy 7.0.7 veya 7.2.1 ve üzeri ve FortiSwitchManager 7.2.1 veya üzeri sürümlere güncellemelerini istedi.
PoC istismarı serbest bırakılmaya hazır
Horizon3 Attack Team’deki güvenlik araştırmacıları, kavram kanıtı (PoC) istismar kodu geliştirdiler ve bu haftanın ilerleyen günlerinde piyasaya sürüleceğini duyurdular.
İle Shodan arama140.000’den fazla FortiGate güvenlik duvarına İnternet’ten ulaşılabilir ve bunların yönetici yönetim arayüzleri de ifşa olursa büyük olasılıkla saldırılara maruz kalırlar.
Geçici çözüm de mevcuttur
Fortinet ayrıca müşterilerin güvenlik güncellemelerini hemen uygulayamasalar bile gelen saldırıları nasıl engelleyebilecekleri hakkında bilgi verdi.
Uzak saldırganların kimlik doğrulamasını atlamasını ve güvenlik açığı bulunan cihazlarda oturum açmasını engellemek için yöneticiler, HTTP/HTTPS yönetim arabirimini devre dışı bırakmalı veya Yerel İlke kullanarak yönetim arabirimine ulaşabilen IP adreslerini sınırlandırmalıdır.
FortiOS, FortiProxy ve FortiSwitchManager için güvenlik açığı bulunan yönetici arabiriminin nasıl devre dışı bırakılacağı veya IP adresi başına erişimin nasıl sınırlandırılacağı hakkında ayrıntılı bilgi bu bölümde bulunabilir. Fortinet PSIRT danışmanlığı 10 Ekim Pazartesi yayınlandı.
Fortinet, geçen hafta bazı müşterilerine gönderdiği bildirimlerde, “Bu cihazlar zamanında güncellenemiyorsa, yükseltme gerçekleştirilinceye kadar internete bakan HTTPS Yönetimi derhal devre dışı bırakılmalıdır.” Dedi.