Fortinet Node.js websocket Modülünde Kimlik Doğrulama Bypass
Saldırganlar, Fortinet güvenlik duvarlarını ele geçirmek ve kurumsal ağları ihlal etmek için FortiOS ve FortiProxy'deki yeni bir kimlik doğrulama atlama sıfır gün güvenlik açığından yararlanıyor.
Bu güvenlik açığı (CVE-2024-55591 olarak takip edilmektedir) FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 ve FortiProxy 7.2.0 - 7.2.12 sürümlerini etkilemektedir. Başarılı bir exploit, uzaktan saldırganların Node.js websocket modülüne kötü niyetli isteklerde bulunarak süper yönetici ayrıcalıkları kazanmasına olanak tanımaktadır.
Fortinet, sıfırıncı günden yararlanan saldırganların, güvenliği ihlal edilmiş cihazlarda rastgele oluşturulmuş yönetici veya yerel kullanıcılar oluşturduğunu ve bunları mevcut SSL VPN kullanıcı gruplarına veya ekledikleri yeni gruplara eklediğini söylüyor.
Ayrıca, güvenlik duvarı politikaları ve diğer ayarları ekledikleri veya değiştirdikleri ve “dahili ağa bir tünel elde etmek için” önceden oluşturulmuş sahte hesapları kullanarak SSLVPN'de oturum açtıkları gözlemlenmiştir.
Etkilenen Sistemler ve Çözüm Önerileri
| Sürüm | Etkilenen | Çözüm |
|---|---|---|
| FortiOS 7.6 | Etkilenmedi | Uygulanamaz |
| FortiOS 7.4 | Etkilenmedi | Uygulanamaz |
| FortiOS 7.2 | Etkilenmedi | Uygulanamaz |
| FortiOS 7.0 | 7.0.0'dan 7.0.16'ya | 7.0.17 veya üstüne yükseltin |
| FortiOS 6.4 | Etkilenmedi | Uygulanamaz |
| FortiProxy 7.6 | Etkilenmedi | Uygulanamaz |
| FortiProxy 7.4 | Etkilenmedi | Uygulanamaz |
| FortiProxy 7.2 | 7.2.0'dan 7.2.12'ye | 7.2.13 veya üstüne yükseltin |
| FortiProxy 7.0 | 7.0.0'dan 7.0.19'a | 7.0.20 veya üstüne yükseltin |
| FortiProxy 2.0 | Etkilenmedi | Uygulanamaz |
IoC’ler
Rastgele betik ve dstip ile oturum açma etkinliği günlüğü takip ediliyor: type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin login in successfully from jsconsole"
Görünüşe göre rastgele oluşturulmuş kullanıcı adı ve kaynak IP'si ile yönetici oluşturma günlüğü şu şekilde: type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
Ayrıca Tehdit Aktörü'nün aşağıdaki IP adreslerini kullandığı görülmüştür:
45.55.158.47
87.249.138.47
155.133.4.175
37.19.196.65
149.22.94.37
Çözüm Önerileri
Geçici çözümler
- HTTP/HTTPS yönetim arayüzünü devre dışı bırakın.
- Yerel politikalar aracılığıyla yönetim arayüzüne erişebilen IP adreslerini sınırlayın.
Tedbirler
-
CVE / CWE
CVE-2024-55591
Ek Bilgiler
* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.
Güvenlik Zafiyet Bildirimleri
İSTANBUL
+90 216 504 53 32
Aydınevler Mahallesi,İsmet İnönü Cadddesi,Küçükyalı Ofis Park A Blok,No:20/1 Maltepe İstanbul
ANKARA
+90 312 235 44 51
ZAFİYET BÜLTENİ
Güvenlik zafiyetlerinden anlık haberdar olmak için ana sayfadaki bültenimize kayıt olabilirsiniz.
© 2021 Barikat Siber Güvenlik Tüm Hakları Saklıdır.