Fortinet’in FortiGate cihazlarında kalıcı olmak üzere özel olarak tasarlanmış bir kötü amaçlı yazılım parçası olan Coathanger, dünya çapında konuşlandırılan çok sayıda cihazda hâlâ gizleniyor olabilir.
Coathanger, FortiGate cihazlarında nasıl varlığını sürdürüyor?
Şubat 2024’te, Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD) ve Genel İstihbarat ve Güvenlik Servisi (AIVD), Çin devleti destekli bilgisayar korsanlarının, bilinen bir FortiOS ön-auth RCE’sini kullanarak 2023 yılında Hollanda Savunma Bakanlığı’na ihlalde bulunduklarını duyurdu. güvenlik açığını (CVE-2022-42475) tespit etti ve kalıcı bir arka kapı oluşturmak için yeni uzaktan erişim trojan kötü amaçlı yazılımını kullandı.
RAT’a Coathanger adı verildi ve yeniden başlatmalardan ve ürün yazılımı yükseltmelerinden sağ çıkabildiği görüldü. FortiGate CLI komutlarını kullanarak varlığını tespit etmek ve güvenliği ihlal edilmiş cihazlardan kaldırmak da zordur.
Güvenlik hizmetleri, bir danışma belgesinde güvenlik ihlali göstergelerini ve çeşitli tespit yöntemlerini paylaştı ve şunları açıkladı: “şu anda tespit edilen tek yol, [it] Virüs bulaşmış bir FortiGate cihazından gelen virüs, cihazın formatlanmasını ve cihazın yeniden kurulmasını ve yeniden yapılandırılmasını içerir.
Ayrıca izinsiz girişi ve kötü amaçlı yazılımı Çinli bir siber casusluk grubuna bağladılar.
Yaygın bir kampanya
Pazartesi günü Hollanda Ulusal Siber Güvenlik Merkezi, MIVD’nin kampanyayı araştırmaya devam ettiğini ve şunları tespit ettiğini söyledi:
- Tehdit aktörü, hem 2022 hem de 2023’te birkaç ay içinde dünya çapında en az 20.000 FortiGate sistemine erişim sağladı
- Fortinet’in bunu duyurmasından en az iki ay önce, FortiOS güvenlik açığından (CVE-2022-42475) sıfır gün olarak yararlandılar.
“’Sıfır gün’ olarak adlandırılan bu dönemde aktör tek başına 14.000 cihaza virüs bulaştırdı. Hedefler arasında düzinelerce (Batılı) hükümet, uluslararası kuruluş ve savunma sanayindeki çok sayıda şirket yer alıyor” dedi.
Tehdit aktörü, Coathanger kötü amaçlı yazılımını daha sonra ilgili hedeflerin cihazlarına yükledi.
“Kaç kişinin aslında kötü amaçlı yazılım yüklediği bilinmiyor. Hollanda istihbarat servisleri ve NCSC, devlet aktörünün potansiyel olarak dünya çapındaki yüzlerce kurbana erişimini genişletebileceğini ve veri çalmak gibi ek eylemler gerçekleştirebileceğini düşünüyor.” dediler ve zorlu keşif ve temizleme süreci göz önüne alındığında şunu eklediler: , “Devlet aktörünün hala önemli sayıda mağdurun sistemlerine erişimi olması muhtemeldir.”
Diğer bir sorun ise Coathanger kötü amaçlı yazılımının FortiGate cihazlarında mevcut veya gelecekteki herhangi bir güvenlik açığıyla (sıfır veya N gün) birlikte kullanılabilmesidir.
Kuruluşlar için tavsiyeler
“Saldırgan sıfır gün kullanıyorsa, BT ağının ilk kez ele geçirilmesini önlemek zordur. Bu nedenle kuruluşların ‘ihlali varsayma’ ilkesini uygulamaları önemlidir,” diye görüş belirtti NCSC.
“Bu prensip, başarılı bir dijital saldırının halihazırda gerçekleştiğini veya yakında gerçekleşeceğini ifade ediyor. Buna dayanarak hasarı ve etkiyi sınırlandıracak önlemler alınır. Buna segmentasyon, tespit, olay müdahale planları ve adli hazırlık alanlarında hafifletici tedbirlerin alınması da dahildir.”
(Hollanda Savunma Bakanlığı’nı hedef alan saldırıda, etkili ağ bölümlemesi nedeniyle izinsiz girişin etkileri sınırlı kaldı.)
Son olarak NCSC, sorunun özellikle Fortinet cihazlarında değil, genel olarak “uç” cihazlarda (güvenlik duvarları, VPN sunucuları, yönlendiriciler, SMTP sunucuları vb.) olduğunu belirtti.
“Çeşitli uç cihazlardaki son olaylar ve tespit edilen güvenlik açıkları, bu ürünlerin genellikle modern tasarım gereği güvenlik ilkelerine göre tasarlanmadığını gösteriyor” dediler. Hemen hemen her kuruluşta bir veya daha fazla uç cihaz konuşlandırıldığı için, tehdit aktörlerinin kendilerini etkileyen güvenlik açıklarını aramasının işe yaradığını eklediler.
Bu nedenle NCSC, kuruluşların uç cihazların kullanımıyla nasıl başa çıkması gerektiği konusunda yararlı tavsiyeler yayınladı.