CISA Uyarısı: Aktif Olarak Sömürülen Fortinet FortiSandbox Güvenlik Açıklarının Acil Düzeltme Gereksinimi

CISA, Fortinet FortiSandbox platformunda bulunan ve aktif olarak sömürülen iki kritik güvenlik açığının acil şekilde yamalanmasını zorunlu kıldı. Hükümet kurumları için son tarih 2024 yılı başı olarak belirlendi.

I
ITWISE
1 görüntülenme
CISA Uyarısı: Aktif Olarak Sömürülen Fortinet FortiSandbox Güvenlik Açıklarının Acil Düzeltme Gereksinimi

Giriş

Amerikan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Fortinet FortiSandbox tehdit algılama platformunda bulunan ve aktif olarak sömürülen iki kritik güvenlik açığının acil şekilde yamalanmasını hükümet kurumlarına zorunlu kılmıştır. Bu açıklar, CVE-2023-44484 ve CVE-2023-47537 olarak tanımlanmıştır ve Fortinet tarafından yayınlanan resmi düzeltmelerin uygulanmaması durumunda ciddi güvenlik riskleri oluşturmaktadır. CISA, bu açıkların sıfırıncı günden saldırılar (zero-day) olarak sömürüldüğünü ve saldırganların sistemlere yetkisiz erişim sağlayabileceğini bildirmektedir.

Sorun Tanımı

Etkilenen Sürümler ve Açıklar

Fortinet FortiSandbox platformunun aşağıdaki sürümleri, bu güvenlik açıklarından etkilenmektedir:

  • CVE-2023-44484: FortiSandbox 4.0.0 ile 4.2.2 arasındaki sürümler
  • CVE-2023-47537: FortiSandbox 3.2.0 ile 3.2.6 arasındaki sürümler

Sömürülme Yöntemleri ve Riskler

Aşağıdaki yöntemler aracılığıyla saldırganlar bu açıkları sömürebilmektedir:

  1. Uzak Kod Yürütme (RCE - Remote Code Execution): CVE-2023-44484, saldırganların FortiSandbox sistemine uzaktan komut göndermesine olanak tanır. Bu, saldırganın sistem üzerinde tam kontrol sağlamasına yol açabilir.
  2. Yetkisiz Erişim (Unauthorized Access): CVE-2023-47537, saldırganların sistemde yetkisiz olarak komut çalıştırmasına ve hassas verileri çalmasına olanak tanır.
  3. Veri Sızıntısı: Saldırganlar, FortiSandbox tarafından analiz edilen dosyalarda bulunan hassas bilgileri çalabilir.
⚠️ Uyarı: Bu açıkların sömürülmesi durumunda, saldırganlar FortiSandbox sistemini bir komuta ve kontrol (C2 - Command and Control) merkezi olarak kullanabilir ve kurumun ağında yanal hareket (lateral movement) gerçekleştirebilir. Bu nedenle, bu açıkların acil şekilde yamalanması zorunludur.

Etki Alanı ve Kritiklik Derecesi

Bu güvenlik açıkları, aşağıdaki nedenlerden dolayı kritik derecede olarak sınıflandırılmıştır:

  • FortiSandbox, tehdit algılama ve analiz için kullanılan kritik bir güvenlik ürünüdür.
  • Açıklar, sıfırıncı günden saldırılar olarak sömürülmektedir.
  • Saldırganlar, FortiSandbox sistemini bir giriş noktası olarak kullanarak kurumun ağında daha geniş çaplı saldırılar gerçekleştirebilir.

Çözüm Adımları

Adım 1: Fortinet'in Resmi Düzeltmelerini Kontrol Edin

Fortinet, bu açıkları gidermek için aşağıdaki düzeltmeleri yayınlamıştır:

  • CVE-2023-44484: FortiSandbox 4.2.3 ve üzeri sürümler
  • CVE-2023-47537: FortiSandbox 3.2.7 ve üzeri sürümler

Adım 2: Sistem Sürümünü Kontrol Edin

Aşağıdaki komutları kullanarak FortiSandbox sisteminin mevcut sürümünü kontrol edin:

# FortiSandbox sisteminde kullanıcı arayüzünden:
Sistem → Ayarlar → Sistem Bilgisi → Sürüm

# SSH üzerinden:
ssh admin@
FortiSandbox # get system status | grep Version

Adım 3: Yedek Alma

Yama uygulamadan önce, sistemde oluşabilecek veri kaybını önlemek için tam yedek alın:

# FortiSandbox arayüzünden:
Sistem → Yedekleme ve Geri Yükleme → Yedekleme → Tam Yedek Oluştur

# SSH üzerinden (FortiGuard servisine bağlıysanız):
FortiSandbox # execute backup config ftp    
💡 İpucu: Yedekleme işlemi sırasında sistemde bakım modu (maintenance mode) etkinleştirilerek kesintisiz bir yama uygulaması sağlanabilir.

Adım 4: FortiSandbox'ı Güncelleme

FortiSandbox sistemini aşağıdaki adımları izleyerek güncelleyin:

  1. FortiGuard Servisinden Güncelleme:
    # SSH üzerinden:
    FortiSandbox # execute update system
    FortiSandbox # execute update antivirus
    FortiSandbox # execute update firmware
    
  2. Manuel Güncelleme (Fortinet'in resmi sitesinden):
    1. Fortinet'in resmi web sitesinden en son FortiSandbox sürümünü indirin.
    2. FortiSandbox arayüzünden:
      Sistem → Sistem Güncelleme → Manuel Güncelleme → Dosya Seç → Yükle

Adım 5: Yama Uygulamasını Doğrulama

Yama uygulamasının başarılı olup olmadığını aşağıdaki komutlarla doğrulayın:

# SSH üzerinden:
FortiSandbox # get system status | grep Version
FortiSandbox # diagnose debug application update -1
FortiSandbox # diagnose debug enable

Adım 6: Sistem Kontrollerini Gerçekleştirin

Yama uygulamasından sonra aşağıdaki kontrolleri gerçekleştirin:

  1. Güvenlik Açıklarının Kontrolü:
    # SSH üzerinden:
    FortiSandbox # diagnose sys top
    FortiSandbox # get system performance status
    
  2. FortiSandbox Hizmetlerinin Kontrolü:
    FortiSandbox # get system status | grep Service
    
  3. Günlüklerin Kontrolü:
    FortiSandbox # execute log display
    

Önleyici Tedbirler

1. Otomatik Güncelleme Politikası

FortiSandbox sistemlerinde otomatik güncelleme politikası uygulayın:

# SSH üzerinden:
FortiSandbox # config system auto-update
    set status enable
    set interval 24
    set time 02:00
end

2. Ağ İzolasyonu ve Erişim Kontrolleri

Aşağıdaki adımlarla FortiSandbox sisteminin ağ izolasyonunu ve erişim kontrollerini güçlendirin:

  1. Güvenlik Duvarı Kuralları:
    # FortiGate üzerinde:
    config firewall policy
        edit 1
            set name "FortiSandbox_Protection"
            set srcintf "internal"
            set dstintf "sandbox"
            set srcaddr "all"
            set dstaddr "all"
            set action accept
            set service "HTTPS" "SSH" "PING"
            set schedule "always"
            set logtraffic all
        next
    end
    
  2. VPN Erişimlerinin Sınırlandırılması:
    # FortiSandbox üzerinde:
    config system admin
        edit "admin"
            set trustedhosts 
        next
    end
    

3. Sürekli İzleme ve Uyarı Sistemleri

FortiSandbox sistemlerinde sürekli izleme ve güvenlik uyarıları yapılandırın:

# FortiAnalyzer üzerinde:
config log device
    edit 1
        set device-type FortiSandbox
        set ip 
        set interface "port1"
    next
end

# FortiManager üzerinde:
config system admin-profile
    edit "Sandbox_Admin"
        set log-view enable
        set device-view enable
    next
end

Başarısız Olma Durumunda Ne Yapılmalı?

Eğer yama uygulaması başarısız olursa veya sistemde anormal davranışlar gözlemlenirse, aşağıdaki adımları izleyin:

  1. Sistemi Geri Yükleme: Önceden alınan yedeği kullanarak sistemi eski durumuna getirin.
    # FortiSandbox arayüzünden:
    Sistem → Yedekleme ve Geri Yükleme → Geri Yükleme → Yedek Dosyası Seç → Geri Yükle
  2. Fortinet Desteği ile İletişime Geçin: Fortinet'in destek hattına başvurarak teknik yardım alın.
  3. Sistemi İzole Edin: FortiSandbox sistemini ağdan izole ederek saldırı yüzeyini azaltın.

Sonuç

Fortinet FortiSandbox platformunda bulunan CVE-2023-44484 ve CVE-2023-47537 açıkları, saldırganlar tarafından aktif olarak sömürülmektedir. Bu açıkların acil şekilde yamalanması, kurumunuzun güvenliği için kritik önem taşımaktadır. Yama uygulama sürecinde yukarıda belirtilen adımları izleyerek sisteminizi koruyabilir ve olası saldırılara karşı önlem alabilirsiniz. Unutmayın, sıfırıncı günden saldırılar hızla yayılabilmekte ve ciddi sonuçlara yol açabilmektedir. Bu nedenle, yama uygulamasını geciktirmeden gerçekleştirin ve sisteminizi sürekli izleyerek güvenlik açıklarını tespit edin.

Kaynaklar