Güvenlik araştırmacıları, kötü niyetli bilgisayar korsanlarının kurumsal ve kurumsal ağlara sızmak için Fortinet güvenlik duvarlarında yeni keşfedilen bir güvenlik açığından yararlandığını söylüyor.
Güvenlik ürünü üreticisi Fortinet, Salı günü yayınlanan bir danışma belgesinde, FortiGate güvenlik duvarlarındaki CVE-2024-55591 olarak takip edilen kritik dereceli bir güvenlik açığının “vahşi ortamda istismar edildiğini” doğruladı.
Fortinet yamaları kullanıma sundu ancak güvenlik araştırmacıları, bilgisayar korsanlarının Aralık ayından bu yana bu güvenlik açığından sıfır gün olarak (yani Fortinet’in bu güvenlik açığından haberdar olup düzeltmeleri kullanıma sunmasından önce) kitlesel olarak istismar ettiği konusunda uyardı.
Bu, bilgisayar korsanlarının kurumsal ağları davetsiz misafirlere karşı korumak için tasarlanmış popüler bir kurumsal güvenlik ürünündeki bir güvenlik açığından yararlanmasına ilişkin en son örnektir. Fortinet’teki hata haberi, saldırganların Ivanti VPN sunucularında müşterilerin ağlarına erişime izin veren ayrı bir sıfır gün kusurundan yararlandığının ortaya çıkmasından günler sonra geldi.
Siber güvenlik şirketi Arctic Wolf, geçen haftaki bir blog yazısında, araştırmacılarının yakın zamanda halka açık internete açık yönetim arayüzlerine sahip Fortinet FortiGate güvenlik duvarı cihazlarını etkileyen bir “toplu istismar” kampanyası gözlemlediğini söyledi.
Arctic Wolf’un baş tehdit istihbaratı araştırmacısı Stefan Hostetler, TechCrunch’a gözlemlenen bu istismarın Fortinet güvenlik duvarlarında yeni onaylanan CVE-2024-55591 güvenlik açığıyla bağlantılı olduğunu doğruladı.
Hostetler, TechCrunch’a Arctic Wolf’un “onlarca Fortinet cihazını etkileyen bir dizi izinsiz giriş gözlemlediğini” söyledi ancak bunun yalnızca “etkilenen toplam gerçek cihaz sayısıyla karşılaştırıldığında sınırlı bir örneği” temsil ettiğini belirtti.
Hostetler, “Kanıtlar, çok sayıda cihazı dar bir zaman dilimi içinde kullanma çabasına işaret ediyor” diye ekledi.
TechCrunch’a ulaşan Fortinet sözcüsü Tiffany Curci, bu hackleme kampanyası sonucunda kaç Fortinet müşterisinin ele geçirildiğini söylemeyi reddetti ancak şirketin “müşterilerle proaktif bir şekilde iletişim kurduğunu” söyledi.
Fortinet güvenlik duvarlarına yapılan saldırıların arkasında kimin olduğu da belli değil ancak siber güvenlik araştırmacısı Kevin Beaumont, Mastodon’da güvenlik açığının “bir fidye yazılımı operatörü tarafından istismar edilmekte olduğunu” yazıyor.
Hostetler, hatayı istismar eden fidye yazılımı saldırılarının “masa dışı olmadığını” belirterek, Arctic Fox’un önceki araştırmasında “Akira ve Fog gibi fidye yazılımı gruplarının bağlı şirketlerinin VPN bağlantısı kurmak için aynı ağ sağlayıcılarından bazılarını kullandığını gözlemlediğini” belirtti.
Salı günü yapılan kısa bir açıklamada ABD siber güvenlik CISA, Fortinet müşterilerini etkilenen cihazları güncellemeye çağırdı.
Eylül ayında Fortinet, bir saldırganın kuruluşa ait üçüncü taraf paylaşılan bulut sürücüsünde depolanan “sınırlı sayıda dosyaya” erişmesinin ardından müşteri verilerini içeren bir ihlali açıklamıştı.
Kaynak: https://techcrunch.com/2025/01/14/hackers-are-exploiting-a-new-fortinet-firewall-bug-to-breach-company-networks/