Fortinet, bilinmeyen saldırganların devlet kurumlarına ve devletle ilgili hedeflere yönelik saldırılarda geçen ay yamalanan bir FortiOS SSL-VPN sıfır gün güvenlik açığından yararlandığını söylüyor.
Bu olaylarda kötüye kullanılan güvenlik kusuru (CVE-2022-42475), FortiOS SSLVPNd’de bulunan ve kimliği doğrulanmamış saldırganların hedeflenen cihazları uzaktan çökertmesine veya uzaktan kod yürütme elde etmesine izin veren, yığın tabanlı bir arabellek taşması zayıflığıdır.
Ağ güvenlik şirketi, Aralık ayı ortasında müşterilerini, 28 Kasım’da FortiOS 7.2.3’teki hatayı sessizce düzelttikten sonra (sıfır gün olarak istismar edildiğine dair herhangi bir bilgi yayınlamadan) bu güvenlik açığından yararlanan devam eden saldırılara karşı cihazlarını düzeltmeye çağırdı.
Müşteriler, 7 Aralık’ta bir TLP:Amber danışma belgesi aracılığıyla bu sorun hakkında özel olarak uyarıldı. Hatanın saldırılarda aktif olarak kullanıldığına dair bir uyarı da dahil olmak üzere daha fazla bilgi 12 Aralık’ta kamuoyuna açıklandı.
Şirket o sırada “Fortinet, bu güvenlik açığının vahşi bir şekilde istismar edildiği bir durumun farkındadır” diyerek yöneticilere sistemlerini bu danışma belgesinde paylaşılan risk göstergeleri listesine göre hemen kontrol etmelerini tavsiye etti.
Bu Çarşamba Fortinet, saldırganların CVE-2022-42475 açıklarını kullanarak FortiOS SSL-VPN cihazlarını IPS Engine’in truva atına bulaştırılmış bir sürümü olarak konuşlandırılan kötü amaçlı yazılımları dağıtmak için kullandığını ortaya koyan bir takip raporu yayınladı.
Hükümet ağlarını hedeflemek için kullanılan sıfır gün
Şirket, tehdit aktörünün saldırılarının yüksek oranda hedefli olduğunu ve analiz sırasında hükümet ağlarına odaklanıldığını gösteren kanıtlar bulunduğunu söyledi.
Fortinet, “İstismarın karmaşıklığı, gelişmiş bir aktörü ve yüksek oranda hükümet veya hükümetle ilgili hedefleri hedef aldığını gösteriyor” dedi.
“Saldırgana atfedilen keşfedilen Windows örneği, Avustralya, Çin, Rusya, Singapur ve diğer Doğu Asya ülkelerini içeren UTC+8 saat dilimindeki bir makinede derlenmiş eserler sergiledi.”
Saldırganlar, belirli günlük girişlerinin kaldırılabilmesi ve hatta gerekirse günlük işlemlerini sonlandırabilmesi için FortiOS günlük kaydı süreçlerine yamalar uygulayan kötü amaçlı yazılım yüklemek için bu güvenlik açığını kullanarak kalıcılığı sürdürmeye ve tespitten kaçınmaya yoğun bir şekilde odaklandılar.
Güvenliği ihlal edilmiş cihazlara indirilen ek yükler, kötü amaçlı yazılımın, güvenliği ihlal girişimlerini engellemek için ağ trafiğini sürekli izleyerek tehditleri tespit etmek üzere tasarlanmış, güvenliği ihlal edilmiş cihazların Saldırı Önleme Sistemi (IPS) işlevini de bozduğunu ortaya çıkardı.
“Kötü amaçlı yazılım, günlüğe kaydetme işlemlerini yamalar Fortinet, tespitten kaçınmak için günlükleri manipüle etmek için FortiOS’un kullanıldığını söyledi.
“Kötü amaçlı yazılım, günlük dosyalarını manipüle edebilir. FortiOS’taki olayların günlükleri olan elog dosyalarını arar. Bunları bellekte açtıktan sonra, saldırganın belirttiği bir diziyi arar, siler ve günlükleri yeniden oluşturur.”
Fortinet, saldırılar sırasında uzak bir siteden daha fazla kötü amaçlı yükün indirildiği, ancak analiz için alınamadığı konusunda uyardı.
Şirket, geçen ayki CVE-2022-42475 istismarının arkasındaki tehdit aktörünün, FortiOS işletim sisteminin parçalarına tersine mühendislik yapma yeteneği de dahil olmak üzere “gelişmiş yetenekler” gösterdiği sonucuna vardı.
Ayrıca müşterilere, saldırı girişimlerini engellemek için derhal FortiOS’un yamalı bir sürümüne geçmeleri ve Aralık ayı saldırılarıyla bağlantılı uzlaşma belirtileri bulmaları halinde Fortinet desteğine ulaşmaları tavsiye edildi.