CVE-2024-55591 olarak izlenen kritik bir kimlik doğrulama zafiyeti, Fortinet’in FortiGate SSL VPN cihazlarında aktif saldırılarla istismar ediliyor. Saldırganlar, bu güvenlik açığını kullanarak kimlik doğrulama mekanizmasını atlayarak süper yönetici (super-admin) yetkileri elde edebiliyor ve cihazları küresel ölçekte tehlikeye atabiliyor.
Açığın Teknik Detayları
Bu zafiyet, FortiOS’un JS konsol işlevinde yer alıyor. Yönetici arayüzüne CLI (Komut Satırı Arayüzü) üzerinden erişim sağlayan bu özellikteki kritik bir hata, saldırganların yetkisiz WebSocket bağlantıları kurarak kimlik doğrulama katmanlarını aşmasına ve CLI’ya erişim sağlamasına olanak tanıyor.
Açık, birden fazla sorunun zincirleme etkisiyle çalışıyor:
1️⃣ Kimlik Doğrulama Atlatma (Authentication Bypass):
- Saldırganlar, sorgu dizesindeki
local_access_tokenparametresini kullanarak FortiOS’u yasal bir oturum yürütüyormuş gibi kandırıyor. - Bu, standart oturum doğrulama kontrollerini devre dışı bırakıyor.
2️⃣ WebSocket İstismarı:
- WebSocket-Telnet bağlantı mekanizmasındaki bir yarış durumu (race condition), saldırganların, oluşturulmuş WebSocket talepleriyle Fortinet’in CLI sürecine yetkisiz erişim sağlamasına olanak tanıyor.
3️⃣ Yetki Yükseltme (Privilege Escalation):
- Saldırganlar, özel hazırlanmış JSON yükleri (payloads) enjekte ederek kendilerine “super_admin” yetkisi atayabiliyor ve cihazın tüm yönetim işlevlerini kontrol altına alabiliyor.
Saldırıların Etkileri ve IoC’ler
Arctic Wolf tarafından yapılan araştırmalar, zafiyetin kamuya açıklanmadan önce istismar edildiğini ortaya koyuyor. Bu durum, dünya çapında yamalanmamış FortiOS kurulumlarına karşı silah haline getirilmiş istismarın kullanıldığını gösteriyor.
Saldırı İzleri (IoC’ler):
- /ws/cli/open uç noktalarına yönelik WebSocket trafiği.
- CLI üzerinden ayrıcalıklı komutların gizlice çalıştırılması.
Shadowserver Foundation, Ocak 2025 itibarıyla 50.000’den fazla açık ve savunmasız cihazın hala çevrimiçi olduğunu rapor etti. Bu durum, işletmelerin zafiyeti hızla yamalaması gerektiğini vurguluyor.
CVE-2024-55591’in Teknik Detayları
Araştırmacılar, zafiyetin öncelikli olarak Node.js tabanlı WebSocket bağlantılarının nasıl doğrulandığındaki sorunlardan kaynaklandığını belirledi.
Saldırı Süreci:
- Oturum Doğrulamasının Yanlış Yönetimi:
- dispatch() işlevi, sahte bir
local_access_tokenkullanılarak kandırılıyor.
- dispatch() işlevi, sahte bir
- WebSocket Yarış Durumu:
- Saldırganlar, WebSocket üzerinden Telnet tabanlı CLI sürecine erişim sağlayacak talepler gönderiyor.
- Yetki Yükseltme:
- Saldırganlar, kötü niyetli değerler enjekte ederek CLI’ya erişim sağlıyor ve cihaz üzerinde tam kontrol elde ediyor.
Örnek İstismar Yöntemi:
- Saldırganlar,
/ws/cli/uç noktasına doğrulama öncesi bir WebSocket isteği gönderiyor. - Yarış durumu oluşturularak Telnet CLI erişimi sağlanıyor.
- Yüklenen özel payload ile yetki yükseltiliyor ve komutlar çalıştırılıyor.
Etkilenen Sürümler ve Dosyalar
| Cihaz Modeli | Etkilenen FortiOS Sürümü |
|---|---|
| FortiGate PA-3260 | 7.2.x ve altı |
| FortiGate PA-1410 | 7.0.x ve altı |
| FortiGate PA-415 | 6.4.x ve altı |
Çözüm ve Öneriler
Fortinet, etkilenen cihazlar için güvenlik yamalarını yayınladı. Kullanıcıların bu yamaları acilen uygulamaları öneriliyor.
1️⃣ Yazılımı Güncelleyin:
- Fortinet PSIRT FG-IR-24-535 kapsamındaki yamaları hemen uygulayın.
2️⃣ Yönetim Erişimini Kısıtlayın:
- Yönetim arayüzlerinin genel internete maruz kalmadığından emin olun.
3️⃣ IoC’leri İzleyin:
- WebSocket trafiğini ve şüpheli CLI erişimlerini izlemek için log ve izleme araçlarını kullanın.
4️⃣ Ağ Güvenliğini Arttırın:
- Ek güvenlik kontrolleri ekleyerek saldırılara karşı proaktif olun.
Sonuç ve Öneriler
CVE-2024-55591 zafiyeti, Fortinet kullanıcıları için büyük bir güvenlik riski oluşturmaktadır. İşletmeler, ağ altyapılarını korumak için güvenlik yamalarını uygulamalı ve yönetim arayüzlerini sıkı bir şekilde denetlemelidir.
🔗 Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #Fortinet #CVE202455591 #VulnerabilityManagement #SecureYourNetwork
About the Author
