Fortinet, FortiOS ve FortiProxy yazılımlarında keşfedilen authentication bypass zero day zafiyetinin (CVE-2024-55591) saldırganlar tarafından aktif olarak kullanıldığını ve bu durumun firewall’ların ele geçirilmesine ve kurumsal ağların ihlaline yol açabileceğini duyurdu.
Hangi Sürümler Etkileniyor?
Bu güvenlik açığı, aşağıdaki yazılım sürümlerini etkiliyor:
- FortiOS: 7.0.0 – 7.0.16
- FortiProxy: 7.0.0 – 7.0.19 ve 7.2.0 – 7.2.12
Başarılı bir saldırı sonucunda, Node.js websocket modülüne zararlı istekler göndererek yönetici (super-admin) ayrıcalıklarına sahip olabiliyor.
Fortinet’in açıklamasına göre saldırganlar, ele geçirdikleri cihazlara rastgele oluşturulmuş admin veya yerel kullanıcı hesapları ekliyor ve bu hesapları mevcut veya yeni SSL VPN kullanıcı gruplarına dahil ediyor. Bunun sonucunda, aşağıdaki işlemleri gerçekleştiriyorlar:
- Firewall kurallarını değiştirme
- Yapılandırma ayarlarını düzenleme
- Saldırganlar tarafından oluşturulan hesaplar aracılığıyla SSL VPN üzerinden dahili ağa sızma
Fortinet’ten Öneriler
Fortinet, saldırılara karşı alınabilecek önlemleri şu şekilde sıraladı:
- HTTP/HTTPS yönetim arayüzünü devre dışı bırakın veya bu arayüze erişebilecek IP adreslerini sınırlandırın.
- Yönetim arayüzlerine yönelik saldırıları engellemek için yerel politika kuralları oluşturun.
Kaynak: