Açıkların Teknik Detayları: Kasım ve Aralık 2024 arasında, Arctic Wolf güvenlik araştırmacıları, internet üzerinden yönetim arayüzlerine açık Fortinet FortiGate firewall cihazlarını hedef alan geniş çaplı bir saldırı kampanyasını tespit etti. Bu saldırılar, sıfırıncı gün (zero-day) açığına dayanıyor ve saldırganların, güvenlik altyapısının yapılandırmalarını değiştirerek yetkisiz erişim sağlamalarına olanak tanıyor. Bu açık, özellikle cihazlarda kritik yönetim fonksiyonlarını kontrol etmek için kullanılan web arayüzü veya komut satırı araçlarını etkiliyor.
Fortinet, 14 Ocak 2025 tarihinde yayımladığı güvenlik duyurusunda, FortiOS ve FortiProxy ürünlerini etkileyen yeni bir kritik kimlik doğrulama atlatma açığı (CVE-2024-55591, CVSS skoru: 9.6) hakkında detayları paylaştı. Bu açık, Node.js websocket modülüne özel hazırlanmış istekler gönderilerek uzak bir saldırganın süper yönetici ayrıcalıkları elde etmesine olanak tanıyor. Açığın aşağıdaki sürümleri etkilediği bildirildi:
- FortiOS 7.0.0 – 7.0.16 (7.0.17 veya üzeri sürüme güncelleyin)
- FortiProxy 7.0.0 – 7.0.19 (7.0.20 veya üzeri sürüme güncelleyin)
- FortiProxy 7.2.0 – 7.2.12 (7.2.13 veya üzeri sürüme güncelleyin)
Etkilenen Sürümler ve Dosyalar: Bu zafiyet, FortiGate cihazlarının 7.0.14 ile 7.0.16 arasındaki yazılım sürümleriyle çalışan modellerde mevcut. Saldırganlar, cihazlardaki yönetim arayüzleri üzerinden bu zafiyeti kullanarak, şüpheli IP adreslerinden (örneğin döngüsel IP adresleri ve kamu DNS çözücüleri gibi) sisteme giriş yapmışlardır.
Saldırının Aşamaları ve Detayları:
Saldırganlar, dört aşamadan oluşan bir saldırı süreci izlediler. Her bir aşama, güvenlik açıklarının daha fazla sömürülmesini sağladı:
- Zafiyet Tarama (16-23 Kasım 2024):
Saldırganlar, jsconsole komut satırı arayüzünü kullanarak cihazlarda güvenlik açıkları aradılar. Bu süreçte, farklı IP adresleri kullanarak (döngüsel IP’ler ve DNS çözücüler gibi) saldırılarını gizlediler. - Keşif (22-27 Kasım 2024):
İlk yapılandırma değişiklikleri yapılarak, saldırganlar yönetici ayrıcalıklarını test etmeye başladı. Burada, cihazların SSL VPN portal yapılandırmaları da değiştirilerek, dışarıdan erişim için yeni yollar açıldı. - SSL VPN Yapılandırması (4-7 Aralık 2024):
Saldırganlar, cihazlarda yeni super admin hesapları oluşturarak ya da mevcut hesapları ele geçirerek daha derinlemesine ağlara sızdılar. VPN portal ayarlarını değiştirdiler ve varsayılan “guest” hesaplarını kullanarak kontrol sağladılar. - Yanlamasına Hareket (16-27 Aralık 2024):
Saldırganlar, DCSync tekniğini kullanarak ağda daha fazla yetki elde etti. Bu yöntemle, cihazlardan kimlik bilgileri çıkarılarak daha fazla bilgiye erişildi.
Saldırının Amacı ve Sömürülmesi:
Saldırganlar, FortiGate cihazlarının yönetim arayüzlerine erişerek, genellikle VPN portal yapılandırmalarını değiştirdi, süper yönetici hesapları oluşturdu ve ağdaki hassas verilere erişim sağladı. Kullanıcı hesapları üzerinde yapılan değişiklikler, özellikle VPN erişimlerini ele geçirmek ve daha sonra cihazlara daha derinlemesine erişmek için kullanıldı.
Bu saldırıların amacı, yalnızca cihazların kontrolünü ele geçirmek değil, aynı zamanda ağdaki hassas bilgileri (kimlik bilgileri, yapılandırmalar vb.) çalmak ve daha sonra bu bilgileri kullanarak ağdaki diğer sistemlere sızmaktı. Bu tür bir saldırı, yalnızca FortiGate cihazlarını değil, aynı zamanda o cihazları yöneten FortiManager cihazlarını da etkileyebilecek potansiyel tehlikeler taşır.
Etkilenen Cihazlar ve Kontrol Yöntemleri:
Eğer bir FortiGate cihazınız varsa ve bu cihazda 7.0.14 ile 7.0.16 arasında bir sürüm kullanıyorsanız, cihazlarınız saldırıya uğramış olabilir. Cihazınızın etkilenip etkilenmediğini kontrol etmek için aşağıdaki adımları izleyebilirsiniz:
- Cihazda Anomalik Giriş Davranışlarını İzleyin:
Yönetici hesaplarına şüpheli giriş girişimlerini kontrol edin. Eğer girişler, alışılmadık IP adreslerinden geliyorsa, cihazınız hedef alınmış olabilir. - Yapılandırma Değişikliklerini Kontrol Edin:
Cihaz yapılandırmalarında, özellikle VPN portal ayarları ve yönetici hesapları ile ilgili herhangi bir değişiklik olup olmadığını inceleyin. - Yönetici Hesaplarını Gözden Geçirin:
Yeni oluşturulmuş süper yönetici hesapları veya mevcut hesapların ele geçirilip geçirilmediğini kontrol edin. - Firmware Güncellemesi Yapın:
Cihazınızı en son güvenlik yaması ve stabil sürüme güncelleyin. Fortinet, yeni sürümler ile bu zafiyeti giderecek yamalar yayınlamıştır. - Çok Faktörlü Kimlik Doğrulama (MFA):
Yönetici hesaplarına ek güvenlik için çok faktörlü kimlik doğrulama (MFA) uygulayın. Bu, saldırganların cihazlara sızmasını engellemeye yardımcı olabilir. - Yönetim Arayüzünü Dışa Kapatın:
Yönetim arayüzünü internetten erişime kapatın veya sadece güvenilir IP adreslerinden erişimi sınırlayın.
Çözüm ve Öneriler:
- Yönetim Arayüzünü Kapalı Tutun: Yönetim arayüzlerine internet üzerinden erişimi devre dışı bırakın ve yalnızca güvenilir iç ağlardan erişim sağlanmasına izin verin.
- Yazılımı Güncelleyin: Cihazları, yayımlanan güvenlik yamalarıyla güncelleyin.
- Çok Faktörlü Kimlik Doğrulama Kullanın: Yönetici hesapları için MFA uygulayın, böylece yetkisiz erişim olasılığını en aza indirin.
- Ağ İzleme ve Tehdit Avcılığı Yapın: Şüpheli giriş aktivitelerini izleyin ve olası tehditleri erkenden tespit etmek için sürekli tehdit avcılığı yapın.
- Güvenlik Farkındalığı Eğitimleri: Kullanıcılar ve ağ yöneticileri için güvenlik eğitimleri sağlayın, böylece yanlış yapılandırmalar ve güvenlik açıkları engellenebilir.
Sonuç ve Öneriler:
Bu saldırı, FortiGate cihazları gibi kritik güvenlik altyapılarının internet üzerinden doğrudan erişilebilir olmasının tehlikelerini bir kez daha gözler önüne seriyor. Kurumlar, güvenlik cihazlarını dış tehditlere karşı korumak ve ağlarına yetkisiz erişimi engellemek için proaktif güvenlik önlemleri almalıdır. Fortinet’in önerdiği güvenlik önlemleri, cihazların ve ağların korunmasını sağlamaya yardımcı olacaktır.
Kapanış ve Etiketler:
Bu saldırılar, sıfırıncı gün açıklarının ne kadar tehlikeli olabileceğini ve internet üzerinden erişilen yönetim arayüzlerinin güvenliğini sağlamanın önemini gösteriyor. Ağ yönetim arayüzlerini yalnızca güvenilir iç kullanıcılara açmak, bu tür tehditlere karşı önemli bir savunma katmanı oluşturur.
#CyberSecurity #NetworkSecurity #Fortinet #ZeroDay #FirewallSecurity #VPN #DCSync #FortiGate
About the Author
