Fortinet, Fortinet Wireless Manager (FortiWLM) yazılımında, saldırganların özel olarak hazırlanmış web istekleri aracılığıyla yetkisiz kod veya komut çalıştırmasına ve cihazları ele geçirmesine olanak tanıyan kritik bir güvenlik açığı tespit ettiğini açıkladı.
FortiWLM Nedir?
FortiWLM, kablosuz ağları izlemek, yönetmek ve optimize etmek için kullanılan merkezi bir yönetim aracıdır. Bu yazılım, hükümet kurumları, sağlık kuruluşları, eğitim kurumları ve büyük işletmeler tarafından yaygın bir şekilde kullanılmaktadır.
CVE-2023-34990 Güvenlik Açığı
Bu güvenlik açığı, CVE-2023-34990 olarak izlenmekte ve 9.8 gibi kritik bir güvenlik derecesi ile değerlendirilmektedir. Güvenlik açığı, “path traversal” adı verilen bir teknikle yazılımda yetkisiz erişim ve komut çalıştırmaya neden olabilir.
Etkilenen Sürümler ve Çözüm
Bu güvenlik açığı, FortiWLM sürümleri 8.6.0 – 8.6.5 ve 8.5.0 – 8.5.4 arasında bulunuyor.
Fortinet, 18 Aralık 2024’te yayınladığı bir güvenlik bülteni ile bu açığın 8.6.6 ve 8.5.5 sürümlerinde düzeltildiğini duyurdu. Ancak, düzeltmeler Eylül 2023’te kullanıma sunulmuş olmasına rağmen, güvenlik bülteninin geç yayınlanması kullanıcıların riski erken fark etmesini engelledi.
Kritik Tavsiyeler
FortiWLM’in kritik ortamlarda kullanılması nedeniyle, bu açık saldırganlar için çok cazip bir hedef oluşturabilir. Uzaktan gerçekleştirilebilecek bir saldırı, ağ genelinde kesintilere ve hassas verilerin ifşa olmasına yol açabilir.
Fortinet, FortiWLM yazılımı en son sürüme güncellemelerini ve ilerideki güncellemeleri zamanında uygulamalarını şiddetle tavsiye etmektedir.
