Greynoise’deki siber güvenlik araştırmacıları, Fortinet SSL VPN sistemlerine yönelik kaba kuvvet saldırılarında endişe verici bir artış tespit ettiler ve 780’den fazla benzersiz IP adresi, son aylarda bu tür saldırı için kaydedilen en yüksek günlük hacmi belirleyen 780’den fazla benzersiz IP adresi.
Sofistike kampanya, Fortinet’in kurumsal ağ altyapısını hedeflemede önemli bir artışı temsil ediyor gibi görünüyor ve saldırganlar fırsatçı tarama yerine hedefleri hakkında kesin bilgi gösteriyor.
Benzeri görülmemiş saldırı hacmi potansiyel güvenlik açığı sinyalleri
Kötü niyetli trafikteki devasa artış, Greynoise’in Fortinet SSL VPN Bruteforcu algılama sistemini tetikledi ve tipik saldırı hacimlerinden dramatik bir artışı temsil etti.
Grinnoise araştırmasına göre, saldırgan etkinliğindeki bu konsantre ani artışlar genellikle erken uyarı sinyalleri olarak hizmet eder, benzer vakaların yüzde 80’i tarihsel olarak altı hafta içinde aynı satıcıyı etkileyen yeni güvenlik açıklarının ifşa edilmesini izler.
Bu model, mevcut kampanyanın Fortinet sistemlerindeki daha önce bilinmeyen zayıflıklardan yararlanabileceğini gösteriyor.
Saldırılar, trafik özellikle Fortios profillerine odaklanan geniş tarama yerine kasıtlı hedefleme gösterdi.
Coğrafi analiz, Hong Kong ve Brezilya’nın son 90 gün içinde birincil hedef ülkeler olarak ortaya çıktığını ve bu bölgelerde konsantre altyapı veya tehdit aktörlerinden gelen belirli stratejik ilgiyi gösterdiğini ortaya koydu.
Saldırı kampanyasının analizi iki ayrı operasyonel aşama ortaya çıktı. İlk dalga, zaman içinde sabit seviyeleri koruyan tutarlı bir TCP imzasına bağlı uzun süredir devam eden kaba kuvvet aktivitesinden oluşuyordu.
Bununla birlikte, 5 Ağustos’tan itibaren araştırmacılar, tamamen farklı bir TCP imzası içeren ani bir trafik patlaması belirlediler ve açık bir taktiksel evrimi işaretlediler.
En önemlisi, saldırganlar, aynı altyapıyı korurken odaklarını Fortios sistemlerinden Fortimanager FGFM profillerine kaydırarak uyarlanabilirlik gösterdiler.
Bu pivot, paylaşılan araç setlerini kullanarak hedefleme kapsamlarını genişleten veya koordineli çabaları genişleten aynı tehdit aktörlerini önermektedir.
Saldırı altyapısı ile ilgili soruşturma, potansiyel konut ağı kökenlerini ortaya çıkardı ve bir IP adresi bir konut ISS bloğunda çalışan bir Fortigate cihazına karar verdi.
Bu, ev ağlarından test etmeyi gösterebilirken, araştırmacılar da gerçek saldırı kökenlerini gizlemek için konut vekil hizmetlerinin kullanımını da yansıtabileceğini belirtiyor.
Kampanyanın teknik karmaşıklığı ve hedefli doğası, Fortinet SSL VPN çözümlerine dayanan kuruluşlar için önemli bir tehdit oluşturuyor.
Saldırganların farklı Fortinet hizmetleri arasında hızla dönme yeteneği, kalıcı erişim girişimlerini sürdürürken gelişmiş operasyonel yetenekleri göstermektedir.
Grinnoise araştırmacıları, etiketli kötü amaçlı adres listelerini kullanarak dinamik IP engellemeyi uygulamak ve bu kampanyayla ilişkili belirli trafik imzalarının izlenmesi de dahil olmak üzere derhal savunma önlemleri önermektedir.
Kuruluşlar, önümüzdeki haftalarda, saldırı dalgalanmalarını sonraki güvenlik vahiylerine bağlayan tarihsel kalıplara dayanarak önümüzdeki haftalarda potansiyel güvenlik açığı açıklamalarına hazırlanmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!