Tehdit avcıları, kamuya açık internet üzerinde yönetim arayüzleri bulunan Fortinet FortiGate güvenlik duvarı cihazlarını hedef alan yeni bir kampanyaya dikkat çekiyor.
Siber güvenlik firması Arctic Wolf geçen hafta yayınlanan bir analizde, “Kampanya, güvenlik duvarlarının yönetim arayüzlerinde yetkisiz yönetici oturum açma işlemlerini, yeni hesapların oluşturulmasını, bu hesaplar aracılığıyla SSL VPN kimlik doğrulamasını ve diğer çeşitli yapılandırma değişikliklerini içeriyordu.” dedi.
Kötü amaçlı etkinliğin, bilinmeyen tehdit aktörlerinin, yapılandırmaları değiştirmek ve DCSync kullanarak kimlik bilgilerini çıkarmak için etkilenen güvenlik duvarlarındaki yönetim arayüzlerine yetkisiz erişim sağlamasıyla Kasım 2024’ün ortalarında başladığına inanılıyor.
Kesin ilk erişim vektörü şu anda bilinmemektedir, ancak “etkilenen kuruluşlar ve etkilenen ürün yazılımı sürümleri genelinde sıkıştırılmış zaman çizelgesi” göz önüne alındığında, bunun muhtemelen sıfır gün güvenlik açığından yararlanılmasından kaynaklandığı “yüksek güvenle” değerlendirilmiştir.
Etkilenen cihazların donanım yazılımı sürümleri, sırasıyla Şubat ve Ekim 2024’te yayımlanan 7.0.14 ile 7.0.16 arasında değişiyordu.
Kampanyanın, 16 Kasım 2024 civarında başlayan ve kötü aktörlerin güvenlik açığı taraması ve keşiften konfigürasyon değişikliklerine ve yanal harekete ilerlemesine olanak tanıyan dört farklı saldırı aşamasından geçtiği gözlemlendi.
Arctic Wolf araştırmacıları, “Meşru güvenlik duvarı etkinliklerinin aksine, bu etkinliklerde öne çıkan şey, bir avuç olağandışı IP adresinden jsconsole arayüzünü kapsamlı bir şekilde kullanmış olmalarıdır” dedi.
“İzinsiz girişler arasındaki ticari beceri ve altyapıdaki ince farklılıklar göz önüne alındığında, bu kampanyaya birden fazla kişi veya grubun dahil olması mümkündür, ancak jsconsole kullanımı genel olarak ortak bir konuydu.”
Özetle, dijital sızmalar, saldırganların, daha kapsamlı bir değişiklik yapmadan önce erken keşif çabalarının bir parçası olarak çıkış ayarını “standart”tan “daha fazla”ya değiştirmek de dahil olmak üzere yapılandırma değişiklikleri yapmak için güvenlik duvarı yönetim arayüzlerine giriş yapmasını içeriyordu. Aralık 2024’ün başında yeni süper yönetici hesapları oluşturmaya yönelik değişiklikler.
Yeni oluşturulan bu süper yönetici hesaplarının daha sonra altı adede kadar yeni yerel kullanıcı hesabı oluşturmak ve bunları kurban kuruluşlar tarafından SSL VPN erişimi için daha önce oluşturulmuş mevcut gruplara eklemek için kullanıldığı söyleniyor. Diğer olaylarda ise mevcut hesaplar ele geçirildi ve VPN erişimi olan gruplara eklendi.
Arctic Wolf, “Tehdit aktörlerinin kullanıcı hesaplarını doğrudan ekledikleri yeni SSL VPN portalları oluşturdukları da gözlemlendi.” dedi. “Gerekli değişiklikleri yaptıktan sonra tehdit aktörleri, etkilenen cihazlarla SSL VPN tünelleri kurdu. Tünellerdeki tüm istemci IP adresleri, bir avuç VPS barındırma sağlayıcısından geliyordu.”
Kampanya, rakiplerin DCSync adı verilen bir teknik kullanarak yanal hareket için kimlik bilgilerini çıkarmak üzere SSL VPN erişiminden yararlanmasıyla sonuçlandı. Bununla birlikte, saldırılar bir sonraki aşamaya geçmeden önce tehlikeye atılmış ortamlardan temizlendiklerinden, şu anda nihai hedeflerine dair bir görünürlük bulunmuyor.
Bu tür riskleri azaltmak için kuruluşların güvenlik duvarı yönetim arayüzlerini internete maruz bırakmamaları ve erişimi güvenilir kullanıcılarla sınırlamaları önemlidir.
Şirket, “Bu kampanyadaki mağduriyet belirli sektörler veya organizasyon boyutlarıyla sınırlı değildi” dedi. “Otomatik giriş/çıkış olaylarının görünümüyle birlikte mağdur organizasyon profillerinin çeşitliliği, hedeflemenin kasıtlı ve metodik olarak hedeflenmekten ziyade doğası gereği fırsatçı olduğunu gösteriyor.”