Siber güvenlik firması Arctic Wolf, halka açık internetteki yönetim arayüzleri açıkta olan Fortinet FortiGate güvenlik duvarı cihazlarını hedef alan devam eden bir siber kampanyanın ayrıntılarını açıkladı.
FortiGate NGFW cihazları, yöneticilerin web tabanlı yönetim arayüzü aracılığıyla komut satırı arayüzüne erişmesine olanak tanıyan ve uygun yönetim sağlayan standart bir özellik içerir.
Tehdit aktörleri, sıfır gün güvenlik açığı olduğundan kuvvetle şüphelenilen bir durumdan yararlanarak, güvenlik duvarı yapılandırmalarını değiştirmek, kimlik bilgilerini çıkarmak ve güvenliği ihlal edilmiş ortamlarda yanal olarak hareket etmek için yetkisiz yönetim erişimine izin veriyor.
Güvenlik açığının tam kapsamı henüz doğrulanmamış olsa da Arctic Wolf, FortiGate güvenlik duvarlarını kullanan kuruluşlara kamu yönetimi arayüzü erişimini derhal devre dışı bırakmaları ve potansiyel riskleri azaltmak için ek güvenlik önlemleri almaları konusunda çağrıda bulunuyor.
“Kampanya, güvenlik duvarlarının yönetim arayüzlerinde yetkisiz yönetici oturum açma işlemlerini, yeni hesapların oluşturulmasını, bu hesaplar aracılığıyla SSL VPN kimlik doğrulamasını ve diğer çeşitli yapılandırma değişikliklerini içeriyordu.”
Saldırının fırsatçı olduğu ve belirli bir sektörü veya kuruluş türünü hedef almadığı görüldü. Öncelikle Şubat ve Ekim 2024 arasında piyasaya sürülen 7.0.14 ila 7.0.16 donanım yazılımı sürümlerini çalıştıran FortiGate cihazlarındaki güvenlik açıklarından yararlandı.
Saldırganlar, jsconsole komut satırı arayüzündeki etkinliklerini gizlemek için geridöngü adresleri (örn. 127.0.0.1) ve iyi bilinen DNS çözümleyicileri (örn. 8.8.8.8) dahil olmak üzere sahte IP adresleri kullandı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Saldırı Gözlemi
Arctic Wolf Labs tarafından Kasım 2024 ile Aralık 2024 arasında gözlemlenen saldırı kampanyası, kötü amaçlı faaliyetlerin aşamalı olarak ilerlemesini içeriyordu:
16 Kasım ile 27 Aralık 2024 tarihleri arasında tehdit aktörleri, savunmasız FortiGate cihazlarını hedef alan çok aşamalı bir saldırı gerçekleştirdi.
Aşama 1 sırasında (16-23 Kasım), jsconsole komut satırı arayüzünden yararlanarak ve sıklıkla geridöngü adresleri (örn. 127.0.0.1) veya genel DNS çözümleyicileri (örn. 8.8) gibi olağandışı veya sahte IP adresleri kullanarak güvenlik açığı taramaları gerçekleştirdiler. .8.8).
2. Aşamada (22-27 Kasım), saldırganlar, yönetici ayrıcalıklarını başarıyla kazanıp kazanmadıklarını test etmek için ilk yapılandırma değişikliklerini yaparak keşif gerçekleştirdi.
3. Aşama (4-7 Aralık), saldırganların ağlara daha fazla sızmak için ya yeni süper yönetici hesapları oluşturduğu ya da mevcut hesapları ele geçirdiği SSL VPN erişiminin yapılandırılmasını içeriyordu. Ayrıca VPN portalı ayarlarını değiştirdiler veya kontrol için varsayılan “misafir” hesaplarından yararlandılar.
Son olarak, 4. Aşamada (16-27 Aralık), yönetici erişiminden yararlanan saldırganlar, DCSync tekniğini kullanarak etki alanı çoğaltmasından yararlanarak kimlik bilgilerini çıkardı ve hassas hesap bilgilerine daha derin erişim sağladı.
İyileştirme ve En İyi Uygulamalar
Arctic Wolf, yönetim arayüzlerini güvence altına almanın ve erişimi yalnızca güvenilir dahili kullanıcılarla sınırlamanın kritik önemini vurguluyor. Temel öneriler şunları içerir:
- Kamu Yönetimi Arayüzü Erişimini Derhal Devre Dışı Bırakın: Güvenlik duvarı yönetimi arayüzlerine genel internetten erişilemediğinden emin olun.
- Firmware’i Düzenli Olarak Güncelleyin: Bilinen güvenlik açıklarına karşı koruma sağlamak için cihazları en son kararlı sürüme yamalayın.
- Anormal Aktiviteyi İzleme: Birden fazla kısa süreli yönetici oturumu açma veya geridöngü IP’lerinin kullanılması gibi olağandışı oturum açma davranışlarını arayın.
- Çok Faktörlü Kimlik Doğrulamayı (MFA) Kullanın: Yönetici erişimi için oturum açma güvenliğini güçlendirin.
- Tehdit Avcılığı Yapın: Yetkisiz yapılandırma değişiklikleri veya SSL VPN hesabı kurulumları da dahil olmak üzere kötü amaçlı etkinlik işaretlerini araştırın.
Arctic Wolf ayrıca müşteriler için korumayı geliştirmek amacıyla bu kampanyaya yönelik tespitleri Yönetilen Tespit ve Yanıt (MDR) platformuna entegre etti.
12 Aralık 2024’te Arctic Wolf, gözlemlenen etkinlikleri Fortinet’e bildirdi ve Fortinet’in dahili PSIRT ekibi, kampanyanın farkındalığını 17 Aralık 2024’te doğruladı. Fortinet, konuyu aktif olarak araştırıyor.
Bu kampanya, yönetim arayüzlerinin halka açık ağlarda açığa çıkmasının risklerinin altını çiziyor. Kuruluşların sektördeki en iyi uygulamaları hayata geçirmek, daha fazla izinsiz girişi önlemek ve henüz ortaya çıkmamış potansiyel güvenlik açıklarına karşı koruma sağlamak için hızlı hareket etmeleri teşvik ediliyor.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!