Güvenlik araştırmacıları, Fortinet’in FortiClient Kurumsal Yönetim Sunucusu (EMS) yazılımında bulunan ve şu anda saldırılarda aktif olarak kullanılan kritik bir güvenlik açığı için bir kavram kanıtı (PoC) istismarı yayınladı. Bu güvenlik açığı, İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC) tarafından keşfedilen ve raporlanan DB2 Yönetim Sunucusu (DAS) bileşenindeki bir SQL enjeksiyonudur.
Bu açık, FortiClient EMS 7.0 (7.0.1 – 7.0.10) ve 7.2 (7.2.0 – 7.2.2) sürümlerini etkilemektedir ve kimliği doğrulanmamış saldırganların düşük karmaşıklıktaki saldırılarda yamalanmamış sunucularda SYSTEM ayrıcalıklarıyla uzaktan kod yürütme (RCE) elde etmelerine izin vermektedir.
Fortinet, güvenlik açığı hakkında yayınladığı bir güvenlik danışmanlığında, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler aracılığıyla yetkisiz kod veya komutları çalıştırmasına izin veren bir SQL Enjeksiyonu olduğunu belirtmiştir. Şirket başlangıçta saldırılarda kullanıldığından bahsetmemiş olsa da, daha sonra güncelleme yaparak güvenlik açığının aktif olarak istismar edildiğini belirtmiştir. Fortinet, güvenlik açığını gidermek için güvenlik güncellemelerini yayınlamıştır.
Güvenlik araştırmacıları, Fortinet’in güvenlik açığını gidermek için yayınladığı güncellemenin ardından bir hafta sonra Horizon3’ün Saldırı Ekibindeki araştırmacılar, bir kavram kanıtı (PoC) istismarı paylaşarak sistemin savunmasız olup olmadığını doğrulamaya yardımcı olan teknik bir analiz yayınlamışlardır. Bu analizde, kod yürütme için bir Windows komut kabuğu (shell) oluşturulması gerektiği belirtilmiştir.
Fortinet, güvenlik açıklarının fidye yazılım saldırıları ve siber casusluk kampanyaları için kurumsal ağlara yetkisiz erişim sağlamak amacıyla sıklıkla kullanıldığını belirtmektedir. Bu tür güvenlik açıklarının genellikle zero-day açıkları olduğu ve güvenlik açığına sahip sistemlerin güncellemeleri yükleme konusunda dikkatli olmaları gerektiği ifade edilmektedir.
Söz konusu güvenlik açığına ait PoC için tıklayınız.
