Fortinet, bir tehdit oyuncusu tarafından ilk güvenlik açıkları yamalandıktan sonra bile Fortigate cihazlarına yetkisiz erişimi sürdürmek için kullanılan sofistike bir sömürü sonrası tekniğini ortaya çıkardı.
Yakın tarihli bir Fortinet soruşturmasında ayrıntılı olarak açıklanan keşif, eşleştirilmemiş sistemlerin kalıcı risklerini vurgulamakta ve şirketin sorumlu şeffaflık ve hızlı tepki konusundaki taahhüdünün altını çizmektedir.
Fortinet’in bulgularına göre, tehdit oyuncusu daha önce FG-IR-22-398, FG-IR-23-097 ve FG-IR-24-015 olarak tanımlanan bilinen güvenlik açıklarından yararlandı.
.png
)
Bu saldırı nasıl başlatıldı
Yeni bir yaklaşımda, aktör SSL-VPN için dil dosyaları sunan bir klasörde kullanıcı ve kök dosya sistemleri arasında sembolik bir bağlantı oluşturdu. Bu, algılamayı tetiklemeden yapılandırmalar dahil cihaz dosyalarına salt okunur erişime izin verdi.
Endişe verici bir şekilde, cihazlar orijinal güvenlik açıklarını ele almak için güncellendikten sonra bile bağlantı devam ederek sistemleri açığa çıkarır.
Fortinet’in iç telemetri ve üçüncü taraf işbirliği tarafından desteklenen soruşturması, faaliyetin belirli bir bölge veya endüstri ile sınırlı olmadığını doğruladı. SSL-VPN’yi cihazlarında hiç etkinleştirmeyen müşteriler bu konudan etkilenmez.
Tekniği belirledikten sonra Fortinet, ürün güvenliği olay müdahale ekibini (PSIR) etkinleştirdi ve acil hafifletmeler uyguladı. Bunlar şunları içerir:
- Kötü niyetli sembolik bağlantıyı tespit etmek ve kaldırmak için bir AV/IPS imzası yayınlanması.
- Fortios sürümlerini değiştirme 7.6.2, 7.4.7, 7.2.11, 7.0.17 ve 6.4.16 bağlantıyı ortadan kaldırmak ve SSL-VPN işlevselliğini güvence altına almak.
- Etkilenen müşterileri doğrudan bilgilendirmek ve en son sürümlere yükseltmeye, yapılandırmaları gözden geçirmeye ve mevcut kurulumlara potansiyel olarak tehlikeye atılmaya çağırıyor.
Fortinet, tüm müşterilerin yamalı versiyonları etkilemesini veya yükseltilmemesini ve topluluk kaynaklarında belirtilen kurtarma adımlarını takip etmesini önerir.
Şirket, tehdit aktörlerinin bilinen güvenlik açıklarından ortalama 4,76 günlük kamuoyu açıklaması içinde kullandıklarını tespit eden 2 saat 2023 küresel tehdit peyzaj raporuna atıfta bulunarak zamanında güncellemelerin aciliyetini vurguladı.
Siber güvenlik haberlerinin Fortinet sözcüsü Carl Windsor, “Bu olay, tehdit aktörlerinin gelişen taktiklerini ve güçlü siber hijyen için kritik ihtiyacı yansıtıyor” dedi.
Savunmaları desteklemek için Fortinet, derleme süresi sertleştirme, sanal yama, ürün yazılımı bütünlüğü doğrulaması ve kesintisiz küme yükseltmesi ve otomatik yama yükseltmeleri gibi otomatik yükseltme araçları dahil olmak üzere son güncellemelerde gelişmiş güvenlik özellikleri getirdi.
Şirket, siber güvenlik standartlarını güçlendirmek için sektör çapında işbirliğini savunmaya devam ediyor.
Rehberlik arayan müşteriler Fortinet’in en iyi uygulama kaynaklarına erişebilir veya doğrudan destek için şirketle iletişime geçebilir. NIST verilerine göre, 2024’te kaydedilen 40.000’den fazla güvenlik açığı ile Fortinet’in mesajı açıktır: uyanık ve güncel kalmak bugünün siber tehditlerine karşı en iyi savunmadır.
WatchTowr’ın kurucusu, Fortinet istismarına bağlı arka kapı dağıtımlarının, kritik altyapı olarak kabul edilen kuruluşlar da dahil olmak üzere müşteri tabanlarında tanımlandığını bildirdi. Yetkili, toplumu Fortinet’in uyarısını ciddiye almaya çağırırken, endüstrinin mevcut müdahale sürecini kritik sistemlerdeki yüksek profilli güvenlik açıklarına sorguladı.
Cisa’nın Önerileri
CISA’nın 11 Nisan Danışmanlığı, Fortinet’in rehberliğini güçlendirerek yöneticileri şunlara çağırıyor:
- Kötü amaçlı dosyayı kaldırmak ve yeniden işlenmeyi önlemek için Fortios 7.6.2, 7.4.7, 7.2.11, 7.0.17 veya 6.4.16’ya yükseltin.
- Cihaz yapılandırmalarını inceleyin ve potansiyel olarak maruz kalan kimlik bilgilerini sıfırlayın.
- Yamalar uygulanana kadar SSL-VPN işlevselliğini geçici bir çözüm olarak devre dışı bırakmayı düşünün.
Bu haberi ilginç bul! Anında güvenlik haberleri güncellemeleri almak için bizi Google News, LinkedIn ve X’te takip edin!