Giriş
Amerikan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Fortinet FortiSandbox tehdit algılama platformunda bulunan ve aktif olarak sömürülen iki kritik güvenlik açığının acil şekilde yamalanmasını hükümet kurumlarına zorunlu kılmıştır. Bu açıklar, CVE-2023-44484 ve CVE-2023-47537 olarak tanımlanmıştır ve Fortinet tarafından yayınlanan resmi düzeltmelerin uygulanmaması durumunda ciddi güvenlik riskleri oluşturmaktadır. CISA, bu açıkların sıfırıncı günden saldırılar (zero-day) olarak sömürüldüğünü ve saldırganların sistemlere yetkisiz erişim sağlayabileceğini bildirmektedir.
Sorun Tanımı
Etkilenen Sürümler ve Açıklar
Fortinet FortiSandbox platformunun aşağıdaki sürümleri, bu güvenlik açıklarından etkilenmektedir:
- CVE-2023-44484: FortiSandbox 4.0.0 ile 4.2.2 arasındaki sürümler
- CVE-2023-47537: FortiSandbox 3.2.0 ile 3.2.6 arasındaki sürümler
Sömürülme Yöntemleri ve Riskler
Aşağıdaki yöntemler aracılığıyla saldırganlar bu açıkları sömürebilmektedir:
- Uzak Kod Yürütme (RCE - Remote Code Execution):
CVE-2023-44484, saldırganların FortiSandbox sistemine uzaktan komut göndermesine olanak tanır. Bu, saldırganın sistem üzerinde tam kontrol sağlamasına yol açabilir. - Yetkisiz Erişim (Unauthorized Access):
CVE-2023-47537, saldırganların sistemde yetkisiz olarak komut çalıştırmasına ve hassas verileri çalmasına olanak tanır. - Veri Sızıntısı: Saldırganlar, FortiSandbox tarafından analiz edilen dosyalarda bulunan hassas bilgileri çalabilir.
⚠️ Uyarı: Bu açıkların sömürülmesi durumunda, saldırganlar FortiSandbox sistemini bir komuta ve kontrol (C2 - Command and Control) merkezi olarak kullanabilir ve kurumun ağında yanal hareket (lateral movement) gerçekleştirebilir. Bu nedenle, bu açıkların acil şekilde yamalanması zorunludur.
Etki Alanı ve Kritiklik Derecesi
Bu güvenlik açıkları, aşağıdaki nedenlerden dolayı kritik derecede olarak sınıflandırılmıştır:
- FortiSandbox, tehdit algılama ve analiz için kullanılan kritik bir güvenlik ürünüdür.
- Açıklar, sıfırıncı günden saldırılar olarak sömürülmektedir.
- Saldırganlar, FortiSandbox sistemini bir giriş noktası olarak kullanarak kurumun ağında daha geniş çaplı saldırılar gerçekleştirebilir.
Çözüm Adımları
Adım 1: Fortinet'in Resmi Düzeltmelerini Kontrol Edin
Fortinet, bu açıkları gidermek için aşağıdaki düzeltmeleri yayınlamıştır:
- CVE-2023-44484: FortiSandbox 4.2.3 ve üzeri sürümler
- CVE-2023-47537: FortiSandbox 3.2.7 ve üzeri sürümler
Adım 2: Sistem Sürümünü Kontrol Edin
Aşağıdaki komutları kullanarak FortiSandbox sisteminin mevcut sürümünü kontrol edin:
# FortiSandbox sisteminde kullanıcı arayüzünden:
Sistem → Ayarlar → Sistem Bilgisi → Sürüm
# SSH üzerinden:
ssh admin@
FortiSandbox # get system status | grep Version
Adım 3: Yedek Alma
Yama uygulamadan önce, sistemde oluşabilecek veri kaybını önlemek için tam yedek alın:
# FortiSandbox arayüzünden:
Sistem → Yedekleme ve Geri Yükleme → Yedekleme → Tam Yedek Oluştur
# SSH üzerinden (FortiGuard servisine bağlıysanız):
FortiSandbox # execute backup config ftp
💡 İpucu: Yedekleme işlemi sırasında sistemde bakım modu (maintenance mode) etkinleştirilerek kesintisiz bir yama uygulaması sağlanabilir.
Adım 4: FortiSandbox'ı Güncelleme
FortiSandbox sistemini aşağıdaki adımları izleyerek güncelleyin:
- FortiGuard Servisinden Güncelleme:
# SSH üzerinden: FortiSandbox # execute update system FortiSandbox # execute update antivirus FortiSandbox # execute update firmware - Manuel Güncelleme (Fortinet'in resmi sitesinden):
- Fortinet'in resmi web sitesinden en son FortiSandbox sürümünü indirin.
- FortiSandbox arayüzünden:
Sistem → Sistem Güncelleme → Manuel Güncelleme → Dosya Seç → Yükle
Adım 5: Yama Uygulamasını Doğrulama
Yama uygulamasının başarılı olup olmadığını aşağıdaki komutlarla doğrulayın:
# SSH üzerinden:
FortiSandbox # get system status | grep Version
FortiSandbox # diagnose debug application update -1
FortiSandbox # diagnose debug enable
Adım 6: Sistem Kontrollerini Gerçekleştirin
Yama uygulamasından sonra aşağıdaki kontrolleri gerçekleştirin:
- Güvenlik Açıklarının Kontrolü:
# SSH üzerinden: FortiSandbox # diagnose sys top FortiSandbox # get system performance status - FortiSandbox Hizmetlerinin Kontrolü:
FortiSandbox # get system status | grep Service - Günlüklerin Kontrolü:
FortiSandbox # execute log display
Önleyici Tedbirler
1. Otomatik Güncelleme Politikası
FortiSandbox sistemlerinde otomatik güncelleme politikası uygulayın:
# SSH üzerinden:
FortiSandbox # config system auto-update
set status enable
set interval 24
set time 02:00
end
2. Ağ İzolasyonu ve Erişim Kontrolleri
Aşağıdaki adımlarla FortiSandbox sisteminin ağ izolasyonunu ve erişim kontrollerini güçlendirin:
- Güvenlik Duvarı Kuralları:
# FortiGate üzerinde: config firewall policy edit 1 set name "FortiSandbox_Protection" set srcintf "internal" set dstintf "sandbox" set srcaddr "all" set dstaddr "all" set action accept set service "HTTPS" "SSH" "PING" set schedule "always" set logtraffic all next end - VPN Erişimlerinin Sınırlandırılması:
# FortiSandbox üzerinde: config system admin edit "admin" set trustedhosts next end
3. Sürekli İzleme ve Uyarı Sistemleri
FortiSandbox sistemlerinde sürekli izleme ve güvenlik uyarıları yapılandırın:
# FortiAnalyzer üzerinde:
config log device
edit 1
set device-type FortiSandbox
set ip
set interface "port1"
next
end
# FortiManager üzerinde:
config system admin-profile
edit "Sandbox_Admin"
set log-view enable
set device-view enable
next
end
Başarısız Olma Durumunda Ne Yapılmalı?
Eğer yama uygulaması başarısız olursa veya sistemde anormal davranışlar gözlemlenirse, aşağıdaki adımları izleyin:
- Sistemi Geri Yükleme: Önceden alınan yedeği kullanarak sistemi eski durumuna getirin.
# FortiSandbox arayüzünden: Sistem → Yedekleme ve Geri Yükleme → Geri Yükleme → Yedek Dosyası Seç → Geri Yükle - Fortinet Desteği ile İletişime Geçin: Fortinet'in destek hattına başvurarak teknik yardım alın.
- Sistemi İzole Edin: FortiSandbox sistemini ağdan izole ederek saldırı yüzeyini azaltın.
Sonuç
Fortinet FortiSandbox platformunda bulunan CVE-2023-44484 ve CVE-2023-47537 açıkları, saldırganlar tarafından aktif olarak sömürülmektedir. Bu açıkların acil şekilde yamalanması, kurumunuzun güvenliği için kritik önem taşımaktadır. Yama uygulama sürecinde yukarıda belirtilen adımları izleyerek sisteminizi koruyabilir ve olası saldırılara karşı önlem alabilirsiniz. Unutmayın, sıfırıncı günden saldırılar hızla yayılabilmekte ve ciddi sonuçlara yol açabilmektedir. Bu nedenle, yama uygulamasını geciktirmeden gerçekleştirin ve sisteminizi sürekli izleyerek güvenlik açıklarını tespit edin.



