Fortinet Güvenlik Duvarındaki Kritik Açık Hacking İle Suistimal Ediliyor
Güvenlik araştırmacıları, Fortinet güvenlik duvarlarındaki yeni keşfedilen bir açık nedeniyle kötü niyetli hackerların kurumsal ve işletme ağlarına sızdığını bildiriyor.
Fortinet, Salı günü yaptığı bir duyuruda, FortiGate güvenlik duvarlarında bulunan ve kritik seviyede bir açık olarak sınıflandırılan CVE-2024-55591 numaralı güvenlik zaafiyetinin “sahada suistimal edildiğini” onayladı.
Kritik Açığa Hızla Müdahale Edilmeli
Fortinet, sorun için yamalar yayınladı, ancak güvenlik araştırmacıları, hackerların bu açıklığı sıfırıncı gün açığı olarak, yani Fortinet’in bu açıktan haberi olmadan ve düzeltmeler hazır olmadan önce, Aralık ayından bu yana büyük çapta kullandıklarını belirtiyor.
Bu durum, popüler bir kurumsal güvenlik ürünündeki zaafiyetin hackerlar tarafından suistimal edilmesinin en son örneği. Fortinet açığı hakkındaki haber, Ivanti VPN sunucularındaki ayrı bir sıfırıncı gün açığının da kötü niyetli kişiler tarafından kullanıldığının ortaya çıkmasından sadece birkaç gün sonra geldi.
Cybersecurity şirketi Arctic Wolf, geçen haftaki bir blog yazısında, uzmanlarının açıkça internete maruz kalmış Fortinet FortiGate güvenlik duvarlarını etkileyen son zamanlarda gerçekleşen bir “kitlesel suistimal” kampanyası gözlemlediğini bildirdi.
Saldırılar Kapsamlı ve Tehlikeli
Arctic Wolf’un baş tehdit istihbarat araştırmacısı Stefan Hostetler, TechCrunch’a yaptığı açıklamada, bu suistimalin yeni onaylanan CVE-2024-55591 açığıyla bağlantılı olduğunu doğruladı.
Hostetler, Arctic Wolf’un “Fortinet cihazlarını etkileyen bir dizi sızma girişimini” sayılarla ifade etti, ama bunun sadece “gerçekte muhtemelen etkilenen cihazların toplam sayısına kıyasla sınırlı bir örnek” olduğunu vurguladı. “Deliller, dar bir zaman diliminde çok sayıda cihazı hedef alma çabası olduğunu gösteriyor” diye ekledi.
TechCrunch ile iletişime geçen Fortinet sözcüsü Tiffany Curci, bu hacking kampanyası sonucunda kaç Fortinet müşterisinin etkilendiğini belirtmeyi reddetti ancak şirketin “müşterileriyle proaktif bir şekilde iletişim kurduğunu” aktardı.
Saldırıların kimler tarafından gerçekleştirildiğine dair kesin bir bilgi yok; ancak siber güvenlik araştırmacısı Kevin Beaumont, bu açığın “bir fidye yazılımı operatörü tarafından suistimal edildiğini” belirtti.
Müşterilere Güncelleme Uyarısı
Hostetler, bu açığı suistimal eden fidye yazılımı saldırılarının “masada olmadığını” belirtti ve Arctic Wolf’un daha önceki araştırmalarında Akira ve Fog gibi fidye yazılımı gruplarının, VPN bağlantısı kurmak için aynı ağ sağlayıcılarını kullandığını gözlemlediklerini kaydetti.
Salı günü ABD siber güvenlik CISA, Fortinet müşterilerini etkilenen cihazları güncellemeleri konusunda uyardı.
Eylül ayında Fortinet, saldırganların organizasyona ait bir üçüncü taraf paylaşımlı bulut sürücüsünde saklanan “sınırlı sayıda dosyaya” erişim sağladığını duyurarak bir veri ihlali yaşadığını bildirmişti.