Bir tehdit aktörü, 15.000’den fazla Fortinet Fortigate güvenlik duvarının ve ilgili yönetici ve kullanıcı kimlik bilgilerinin yapılandırma dosyalarını (diğer adıyla yapılandırmalar) sızdırdı.
Koleksiyon Pazartesi günü sızdırıldı ve “Belsen_Group” adlı tehdit aktörü tarafından bir yeraltı forumunda duyuruldu; bu, sözde grubun adını forum kullanıcılarının hafızasında sağlamlaştırmaya yönelik ücretsiz bir teklifti.
Sızan 1,6 GB’lık arşiv, ülkeye göre sıralanmış klasörler içeriyor ve her birinin içinde IP adreslerinin adını taşıyan klasörler bulunuyor. Bunların içinde tam yapılandırma dosyaları ve yönetici ve VPN kullanıcı kimlik bilgilerinin listesini içeren bir txt dosyası bulunur.
Alman haber kaynağı Heise Online, “FortiNet konfigürasyonlarının çoğu, yani 1603, Meksika’daki, 679’u ABD’deki ve 208’i Almanya’daki saldırganlar tarafından ele geçirildi” dedi.
Etkilenen cihazların çoğunun şirketlerde ve tıbbi uygulamalarda bulunduğu görüldü. “Veri sızıntısında 80 kadar farklı cihaz türü bulunabilir; FortiGate Güvenlik Duvarı 40F ve 60F en yaygın olanlardır. Ayrıca WLAN ağ geçitleri ve sunucu rafına kurulum için cihazların yanı sıra masa veya süpürge dolabı için kompakt cihazlar da mevcut.”
Ne yapalım?
Birkaç araştırmacıya göre, çalınan yapılandırma dosyalarının bulunduğu arşiv Ekim 2022’ye kadar uzanıyor ve saldırganların arşivi birleştirmek için FortiOS’un kimlik doğrulama güvenlik açığını (CVE-2022-40684) atladığına inanılıyor.
“Kurban kuruluşundaki bir cihazda olay müdahalesi yaptım ve istismar gerçekten de cihazdaki eserlere dayalı olarak CVE-2022-40684 aracılığıyla gerçekleşti. Ayrıca dökümde görülen kullanıcı adlarının ve şifrenin cihazdaki ayrıntılarla eşleştiğini de doğrulayabildim,” diye paylaştı güvenlik araştırmacısı Kevin Beaumont.
CloudSEK araştırmacıları arşivi indirdi ve kuruluşların, cihazlarının etkilenenler arasında olup olmadığını kontrol etmek için kullanabileceği IP adreslerinin listesini derledi.
“Kullanıcı adlarının ve şifrelerin (bazıları düz metin olarak) açığa çıkması, saldırganların hassas sistemlere doğrudan erişmesine olanak tanıyor. Kuruluşlar, Fortigate tarafından yama yayınlandıktan sonra 2022’de bu CVE’yi yamalasalar bile, bu bir sıfır gün olduğu için yine de uzlaşma işaretlerini kontrol etmeleri gerekiyor,” diye belirtti araştırmacılar.
Güvenlik duvarı kurallarının dahili ağ yapılarını ortaya çıkarabileceğini ve potansiyel olarak saldırganların savunmaları atlamasına olanak sağlayabileceğini eklediler. “İhlal edilmiş dijital sertifikalar, yetkisiz cihaz erişimine veya güvenli iletişimde kimliğe bürünmeye izin verebilir.”
Kuruluşlara, tüm cihaz ve VPN kimlik bilgilerini güncellemelerini, güvenlik duvarı kurallarını istismar edilebilir zayıflıklar açısından gözden geçirmelerini ve erişim kontrollerini sıkılaştırmalarını, güvenli iletişimi yeniden sağlamak için açıkta kalan tüm dijital sertifikaları iptal etmelerini ve değiştirmelerini ve son olarak, cihazların açık veya kapalı olup olmadığını kontrol etmek için adli tıp araştırması yapmalarını tavsiye ettiler. hala tehlike altındalar.
Belsen Grubunun sızdırılan bilgileri kendilerinin kullandığını veya sızdırmadan önce diğer saldırganlara sattığını öne sürüyorlar.
“Belsen Grubu forumlarda yeni görünebilir, ancak sızdırdıkları verilere dayanarak en az 3 yıldır ortalıkta olduklarını büyük bir güvenle söyleyebiliriz. Doğrudan bağlantılar henüz kurulmamış olsa da, muhtemelen 2022’deki sıfır günü istismar eden bir tehdit grubunun parçasıydılar.”