Fortinet ve Palo Alto Networks İçin Kötü Bir Hafta Oldu

Türkiye’de de faliyet gösteren dünyanın en büyük kurumsal donanım ve yazılım satıcılarından olan Fortinet ve Palo Alto Networks için bu hafta oldukça kötü bir hafta oldu.

Her iki şirketin en popüler ürünleri etkileyen bazı güvenlik açıklıkları ortaya çıktı. Firmalar neyse ki cihazları etkileyen bu güvenlik sorunlarını düzelttiler.

FortiClient, VPN Kimlik Bilgileri Açığa Çıktı

Linux, Mac ve Windows için kullanılabilen FortiClient, şirketin “kurumsal ağlara ve neredeyse tüm internete bağlı uzak konumlardan uygulamalara güvenli, güvenilir erişim” sağladığını iddia ettiği bir VPN istemcisi. Fortinet’in FortiClient’ı, aynı zamanda hem ev hem de kurumsal düzeydeki istemciler için Fortinet tarafından sağlanan bir antivirüs ürünü de içeriyor.

SEC Consult’dan araştırmacılar, bu hafta yayınladıkları tavsiye niteliğindeki belgesinde, saldırganların bu VPN istemcisinin kimlik bilgilerini elde etmelerine izin veren bir güvenlik sorunu keşfettiklerini açıkladılar.

Araştırmacılara göre, FortiClient yazılımı VPN kimlik bilgilerini, verilere kolay erişimi engellemek için kullanıcının bilgisayardaki yerel bir dosyasında anahtarla şifreli olarak saklıyor. SEC Consult, bu anahtarın tüm kullanıcılar için aynı olduğunu ve varsayılan olarak FortiClient ikili dosyasında saklandığını söylüyor. Bu anahtar, kolayca VPN kimlik bilgilerine erişmek ve bilgileri açığa çıkarmak için kullanılabilir.

Güvenlik açığı (CVE-2017-14184), Windows ve Mac’te FortiClient 5.6.0 ve önceki sürümlerini, Linux’ta FortiClient 4.4.2334 ve önceki sürümleri etkiliyor. Fortinet bu konuyla ilgili hafta içinde güvenlik güncellemeleri yayınladı.

Palo Alto Networks Güvenlik Duvarları Kök Seviyesindeki RCE’de Açık

Bu hafta açıklanan ikinci önemli güvenlik sorunu, Palo Alto Networks tarafından üretilen ve şirketin cihazlarının işletim sistemi olan PAN-OS’u çalıştıran güvenlik duvarını etkiliyor.

Güvenlik araştırmacısı Philip Pettersson, üç güvenlik açığını bir araya getirerek, uzak bir yerden bir Palo Alto güvenlik duvarı üzerinde root yetkilerine sahip olarak kod çalıştırabildiğini keşfetti.

Güvenlik açığı (CVE-2017-15944), PAN-OS 6.1.18 ve önceki sürümlerini, PAN-OS 7.0.18 ve önceki sürümlerini, PAN-OS 7.1.13 ve önceki sürümlerini, PAN-OS 8.0.5 ve önceki sürümlerini etkilemektedir. Palo Alto, 5 Aralık tarihinde bu dört açıklığı da düzelten bir dizi güncellemeler yayınladı [1, 2, 3, 4].

Bu güvenlik açığı, şirketlerin Palo Alto güvenlik duvarının yönetim arabirimini yalnızca yerel alan ağına (LAN) erişimiyle sınırlandırmak yerine WAN bağlantılarına (Internet üzerinden) açık bırakmaları durumunda istifade edilebilir. Zaten bir güvenlik yöneticisi cihazın erişimini WAN’a açık bırakıyorsa orada ne işi var?

Eğer bunun bir sorun olmayacağını ve bir ağ yöneticisin böyle bir şey yapmayacağını düşünüyorsanız, ancak durum sanıldığı gibi değil. Shodan’a göre, 13 Aralık’ta, yönetim arabirimini çevrimiçi olarak internette paylaşılmış olan 6.867 Palo Alto güvenlik duvarları vardı. Tekrar hatırlatayım, bunlar hassas ağları korumak ve erişimi sınırlamak için tasarlanmış kurumsal düzeyde sistemlerdir.