Mandiant’ın yeni raporuna göre, Fortinet’in FortiManager yazılımında keşfedilen ve “FortiJump” olarak adlandırılan yeni bir zafiyet, Haziran 2024’ten bu yana sıfır gün saldırılarında kullanılıyor. Bu açık, CVE-2024-47575 olarak izleniyor ve 50’den fazla sunucuya saldırıda bulunulduğu bildiriliyor.
Geçtiğimiz on gün boyunca, FortiManager yazılımındaki sıfır gün açığı hakkında söylentiler internette dolaşıyordu. Fortinet, müşterilerine özel olarak güvenlik uyarıları göndermişti. Fortinet bugün ise bu açığı resmen duyurdu. Açık, FortiGate cihazlarını yönetmek için kullanılan “FortiGate to FortiManager Protocol” (FGFM) API’sinde kimlik doğrulama eksikliğinden kaynaklanıyordu. Bu zayıflık, saldırganların sunucuya ve yönetilen FortiGate cihazlarına komut göndermesine olanak tanıyor.
Saldırı Nasıl Gerçekleşiyor?
Saldırganlar, kontrol ettikleri FortiManager ve FortiGate cihazlarını, geçerli sertifikalarla herhangi bir FortiManager sunucusuna kaydedebiliyorlardı. Kayıt işlemi başarılı olduktan sonra, saldırganlar bu açığı kullanarak FortiManager sunucusunda API komutları çalıştırabiliyor ve yönetilen cihazların yapılandırma verilerini çalabiliyorlardı.
Fortinet, CVE-2024-47575 zafiyeti için yamalar yayınladı ve sadece belirli IP adreslerine bağlantı izni verilmesi gibi çeşitli önlemler önerdi.
Zafiyet Haziran Ayından Beri İstismar Ediliyor
Mandiant, “UNC5820” olarak izlenen saldırı grubunun, 27 Haziran 2024’ten itibaren FortiManager cihazlarını istismar ettiğini bildirdi. Bu saldırgan, yönetilen FortiGate cihazlarının yapılandırma verilerini çalarak, kullanıcı bilgilerini ve şifrelenmiş parolaları elde etti.
İlk saldırı, 45.32.41[.]202 IP adresinden geldi ve saldırganlar FortiManager-VM cihazını FortiManager sunucusuna kaydetti. Saldırıda oluşturulan dosyalar arasında yönetilen cihazlara ait bilgiler de bulunuyordu.
Saldırganlar sistem dosyalarına zarar vermemiş olsa da, cihazlardan alınan verilerle ilgili herhangi bir yayılma veya daha geniş bir ağ ihlali gözlemlenmedi.
Fortinet, CVE-2024-47575 için ek bilgiler ve önlemler içeren bir güvenlik duyurusu yayımladı.