BT güvenlik araştırmacıları, balküpünde Fortinet'in web uygulaması güvenlik duvarlarında önceden bilinmeyen bir güvenlik açığına saldıran bir yararlanma kodu ortaya çıkardı. Saldırıya uğrayan güvenlik açığı, Fortinet'in 2022'de bir güncellemeyle kapattığı güvenlik açığını hatırlatıyor.
Duyurudan sonra devamını okuyun
pwndefend'deki bir blog yazısında yazar, kendisinin ve bir BT güvenlik araştırmacısı arkadaşının yeni bir bal küpü ortamından gelen verileri değerlendirdiğini ve FortiWeb güvenlik duvarlarına karşı çalışan kötü amaçlı kod fark ettiğini açıklıyor. Bir arkadaş X'in gönderisine göre, ilk araştırmalar Virustotal'daki kötü amaçlı kodun herhangi bir kötü amaçlı yazılım koruması tarafından tanınmadığını gösterdi. Bir Yol Geçişi güvenlik açığı gibi görünüyor. BT araştırmacılarına Fortinet'teki CVE-2022-40684 (CVSS) güvenlik açığını hatırlatın 9.8“Risk”eleştirmen“), burada saldırganlar yönetici arayüzünde kimlik doğrulamayı atlayabilir ve normalde yöneticilere ayrılmış eylemleri gerçekleştirmek için değiştirilmiş istekleri kullanabilir.
İnternet saldırıları
Potansiyel kurbanları korumak için yazar, keşfedilen yük hakkında çok fazla ayrıntıya girmek istemiyor. Saldırganlar, kötü amaçlı kodu bir HTTP gönderi isteği kullanarak “/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi” uç noktasına gönderir. Bir kullanıcı hesabı oluşturmak için bir dizi komut gömülüdür. Blog yazısında yazar aynı zamanda uzlaşmanın kanıtlarını da sunuyor (Uzlaşma Göstergeleri, IOC); Listede, gözlemlenen saldırıların kaynaklandığı IP adreslerinin yanı sıra, analiz edilen kötü amaçlı yazılımın oluşturmaya çalıştığı bazı kullanıcı adı ve şifre kombinasyonları da yer alıyor.
watchTowr'daki bilgisayar adli tıp uzmanları, X'te bir kısa filmde bu istismarın FortiWeb güvenlik duvarına karşı nasıl gerçekleştirildiğini ve bir yönetici hesabının nasıl oluşturulduğunu gösteriyor. Böylece sıfır gün istismarının işlevselliğini doğruladılar. Ayrıca bunu “Tespit Artefakt Oluşturucusuna” da eklediler. Henüz Fortinet'ten bir bilgi yok: Bir ürüne yönelik en son güvenlik güncellemesi web sitesinde 3 Kasım tarihli. Bir karşı önlem olarak FortiWeb güvenlik duvarı yöneticileri, özellikle yönetim arayüzünün ağ üzerinden erişilebilir olması gerekiyorsa, en azından şimdilik erişimin güvenilir IP adresleriyle sınırlı olmasını sağlamalıdır.
Güncelleme
09:23
Saat
Güncellenen Pwndefend blog gönderisinde, istismarın FortiWeb web uygulaması güvenlik duvarlarına yönelik olduğu belirtiliyor. Mesajı buna göre açıklığa kavuşturduk.
(Bilmiyorum)
Bir yanıt yazın