CVE-2024-47575, FortiManager sistemindeki bir güvenlik kontrol mekanizmasının yetersizliğinden kaynaklanmaktadır. Bu zafiyet, saldırganların sistem üzerinde yetkisiz komut çalıştırmasına olanak tanır. Özellikle güvenlik açıklarından yararlanan saldırganlar, yönetim erişimlerini ele geçirerek sistem yapılandırmalarını değiştirebilir, hassas verilere erişebilir ve tüm ağı etkileyen saldırılar gerçekleştirebilir.
Bu güvenlik açığı, zero-day saldırılarında aktif olarak kullanılmaktadır. Fortinet tarafından doğrulanan bu açık, saldırganların FortiManager cihazlarına uzaktan erişim sağlayarak kritik altyapıları hedef almasına yol açabilmektedir. Zafiyet, FortiManager’ın 7.0.0 ve daha önceki sürümlerini etkilemekte olup, CVSS skoru 9.8 olarak değerlendirilmiştir. Bu derece yüksek bir CVSS skoru, açığın ne kadar ciddi olduğunu göstermektedir.
Etkilenen Cihazlar ve Sürüm Detayları
Etkilenen FortiManager sürümleri şu şekildedir:
| Versiyon | Etkilenen Sürümler | Çözüm |
|---|---|---|
| FortiManager 7.6 | 7.6.0 | 7.6.1’e güncelleyin |
| FortiManager 7.4 | 7.4.0 – 7.4.4 | 7.4.5’e güncelleyin |
| FortiManager 7.2 | 7.2.0 – 7.2.7 | 7.2.8’e güncelleyin |
| FortiManager 7.0 | 7.0.0 – 7.0.12 | 7.0.13’e güncelleyin |
| FortiManager 6.4 | 6.4.0 – 6.4.14 | 6.4.15’e güncelleyin |
| FortiManager 6.2 | 6.2.0 – 6.2.12 | 6.2.13’e güncelleyin |
| FortiManager Cloud 7.6 | Etkilenmemiş | Etkilenmemiş |
| FortiManager Cloud 7.4 | 7.4.1 – 7.4.4 | 7.4.5’e güncelleyin |
| FortiManager Cloud 7.2 | 7.2.1 – 7.2.7 | 7.2.8’e güncelleyin |
| FortiManager Cloud 7.0 | 7.0.1 – 7.0.12 | 7.0.13’e güncelleyin |
| FortiManager Cloud 6.4 | 6.4 tüm sürümler | Sabit bir sürüme geçiş yapın |
Bu güvenlik açığı, FortiAnalyzer’ın aşağıdaki modellerini ve FGFM hizmeti aktif olan arayüzleri etkiler:
3700F, 3700G, 3900E
1000E, 1000F
2000E, 3000E, 3000F, 3000G
3500E, 3500F, 3500G
FortiManager ve FortiAnalyzer Sistemlerinde Kritik Güvenlik Zafiyeti: CVE-2024-47575
Fortinet’in önemli güvenlik yönetim çözümleri olan FortiManager ve FortiAnalyzer, geniş ölçekli ağların yönetiminde kullanılan kritik bileşenlerdir. Ancak son dönemde bu sistemlerde ortaya çıkan ve CVE-2024-47575 koduyla adlandırılan güvenlik zafiyeti, ciddi bir tehdit oluşturmaktadır. Bu güvenlik açığı, saldırganların yetkisiz erişim sağlayarak sistemde kod çalıştırmasına ve ağ altyapılarını tehlikeye atmasına olanak tanır. Bu makale, bu zafiyetin teknik detaylarını, etkilediği cihazları ve çözüm yollarını kapsamlı bir şekilde ele almaktadır.
Zafiyetin Tanımı ve Etkileri
FortiManager ve FortiAnalyzer sistemlerinde ortaya çıkan CVE-2024-47575 zafiyeti, özellikle FortiManager etkinleştirildiğinde ve FGFM (FortiGate Manager) hizmeti çalışırken saldırganların sistemi hedef almasına imkan verir. Bu zafiyet, SQL enjeksiyonundan kaynaklanmakta olup, saldırganların sistem üzerinde yetkisiz kod çalıştırmasını ve kritik yapılandırma verilerini ele geçirmesini sağlar.
Bu açık, FortiManager 7.0.0 ve önceki sürümlerini etkilerken, Fortinet tarafından yayınlanan yamalarla kapatılmıştır. Ancak zafiyetin aktif olarak zero-day saldırılarında kullanıldığı doğrulanmıştır. Saldırganlar, bu zafiyetten yararlanarak yönetim erişimlerini ele geçirebilir ve FortiManager cihazlarını kontrol altına alabilir. Ayrıca, sistem yapılandırmalarını değiştirip tüm ağı etkileyen büyük çaplı saldırılar düzenleme riski taşırlar.
Etkilenen Cihazlar
Bu güvenlik açığı, FortiAnalyzer’ın aşağıdaki modellerini ve FGFM hizmeti aktif olan arayüzleri etkiler:
- 1000E, 1000F
- 2000E, 3000E, 3000F, 3000G
- 3500E, 3500F, 3500G
- 3700F, 3700G, 3900E
Zafiyet, özellikle aşağıdaki yapılandırma kullanıldığında ortaya çıkar:
config system global
set fmg-status enable
end
CVSS Skoru ve Teknik Detaylar
CVE-2024-47575 zafiyeti, CVSS (Common Vulnerability Scoring System) üzerinden 9.8 gibi kritik bir puan almıştır. Bu, açığın ciddiyetini ortaya koymaktadır. Zafiyet, güvenlik kontrol mekanizmasındaki yetersizlikten kaynaklanmakta ve saldırganların FortiManager sistemlerinde tam yetki kazanarak kritik yapılandırmaları değiştirmesine olanak sağlar. Zayıf kimlik doğrulama ve kötü yapılandırılmış sistemler, bu tür saldırılara karşı daha savunmasızdır.
Çözüm Yolları ve Geçici Önlemler
FortiManager 7.0.12 ve Üzeri Versiyonlar İçin Çözüm:
Tanınmayan cihazların FortiManager’a kaydolmasını engellemek için aşağıdaki komut kullanılabilir:
config system global
set fgfm-deny-unknown enable
end
Bu ayar etkinleştirildiğinde, seri numarası cihaz listesinde bulunmayan FortiGate cihazları kaydolamaz.
Yerel Politikalar ile IP Adreslerini Beyaz Listeye Ekleme (FortiManager 7.2.0 ve Üzeri):
Yalnızca belirli IP adreslerinden gelen FortiGate cihazlarının bağlanmasına izin verebilirsiniz:
config system local-in-policyedit 1
set action accept
set dport 541
set src <FortiGate IP Adresi>
next
edit 2
set dport 541
next
end
Özel Sertifika Kullanımı (FortiManager 7.2.2 ve Üzeri):
Saldırıya karşı bir başka önlem de, özel bir sertifika yükleyip yalnızca bu sertifikayı kabul eden bir yapılandırma yapmaktır:
config system global
set fgfm-ca-cert <sertifika dosyası>
set fgfm-cert-exclusive enable
end
Güvenlik Açığı Göstergeleri (IoC’lar)
Bu zafiyeti tespit etmek için belirli log kayıtları kontrol edilmelidir. Aşağıdaki belirtiler, şüpheli etkinlikleri gösterebilir:
- Tanınmayan cihazların sisteme eklenmesine dair loglar
- Aşağıdaki IP adreslerinin sisteme erişimi:
- 45.32.41.202
- 104.238.141.143
- 158.247.199.37
- Şüpheli dosyalar:
/tmp/.tmve/var/tmp/.tm
Risk ve Kurtarma Yöntemleri
Bu zafiyetin en büyük riski, saldırganların FortiManager cihazı üzerinden yönetilen cihazların IP adresleri, kimlik bilgileri ve yapılandırmalarını ele geçirebilmesidir. Ancak, henüz sistemde kötü amaçlı yazılım veya kalıcı arka kapılar bırakıldığına dair doğrulanmış bilgi bulunmamaktadır.
Kurtarma Yöntemleri:
- Önerilen Kurtarma: FortiManager cihazlarının tam sıfırlanması ve güvenli bir yedekten geri yüklenmesi önerilir.
- Alternatif Kurtarma: Eğer tam sıfırlama mümkün değilse, mevcut yapılandırma manuel olarak kontrol edilip, şüpheli bölümler kaldırılarak sistem güvenliği sağlanabilir.
Zero-Day Saldırıları ve FortiManager Güvenliği
Zero-day saldırıları, bir zafiyetin keşfedildiği ancak yama bulunmadığı anlarda gerçekleşir. CVE-2024-47575 zafiyeti, saldırganlar tarafından özellikle fortiJump gibi araçlar kullanılarak istismar edilebilmektedir. Bu tür saldırılar, genellikle kritik altyapılara büyük zararlar verebilen profesyonel hackerlar veya devlet destekli gruplar tarafından düzenlenmektedir.
Sonuç ve Öneriler
FortiManager ve FortiAnalyzer kullanıcıları, CVE-2024-47575 güvenlik açığına karşı sistemlerini derhal güncellemelidir. Fortinet, bu zafiyet için gerekli yamaları yayınlamıştır. Kullanıcıların bu yamaları uygulaması ve ağ yönetim sistemlerinde güçlü kimlik doğrulama ve erişim kontrol mekanizmalarını devreye alması kritik önem taşır. Ayrıca, sistem yedekleme ve felaket kurtarma planlarının düzenli olarak gözden geçirilmesi de önerilen diğer kritik adımlardır.
About the Author
