Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik Operasyonları
Mandiant, Yüksek Ciddiyetteki Kusurun Saldırganlara Uzaktan Kimlik Doğrulaması Olmadan Erişim Sağlayabileceğini Söyledi
Akşaya Asokan (asokan_akshaya) •
24 Ekim 2024
Mandiant’taki araştırmacılar, ilk kez 27 Haziran’da gözlemlenen yeni bir tehdit kümesinin, ağ uç cihazı üreticisinin Çarşamba günü kamuya açıkladığı Fortinet’in sıfır gününü kullandığını söylüyor.
Ayrıca bakınız: Canlı Web Semineri | Hindistan’da SASE Benimseme Zorluklarının Üstesinden Gelmek
Google’ın sahibi olduğu tehdit istihbarat şirketi Çarşamba günü yaptığı açıklamada, UNC5820 izleme adı verilen tehdit aktörünün şimdiye kadar hedef ağların derinliklerine inmek için çalınan Fortinet cihaz yapılandırma verilerini kullanmadığının görüldüğünü söyledi. Araştırmacılar, tehdit aktörünün motivasyonunu veya konumunu değerlendirecek verilere sahip olmadıklarını söyledi.
Fortinet, FortiManager merkezi yönetim platformunda CVE-2024-47575 olarak takip edilen ve aktif olarak kullanılan bir kusurun, kimliği doğrulanmamış uzak bilgisayar korsanlarının rastgele kod veya komutlar yürütmesine izin verdiğini söyledi. Şirket içi ve bulut örnekleri etkilenir. Şirket Çarşamba günü, bilgisayar korsanlarının kötü amaçlı yazılım veya arka kapı yüklemek için kusurdan yararlandığına dair bir rapor almadığını söyledi. Bir sözcü, “Bildiğimiz kadarıyla, veritabanlarında değişiklik yapıldığına veya yönetilen cihazlarda bağlantı veya değişiklik yapıldığına dair herhangi bir gösterge bulunmuyor” dedi.
13 Ekim’de Fortinet’te yeni bir sıfır gün olasılığını gündeme getiren ve Fortinet’i şeffaf olmadığı için defalarca eleştiren siber güvenlik araştırmacısı Kevin Beaumont, “FortiJump” güvenlik açığını fark etti (bkz: Fortinet Aktif Olarak İstismar Edilen Sıfır Gün’ü Açıkladı).
FG-IR-24-423 olarak da bilinen kusur, CVSS puanı 9,8 olan, uzaktan kimliği doğrulanmamış kritik bir güvenlik açığıdır. Bilinen veya bilinmeyen herhangi bir cihazın FortiManager’a bağlanmasına izin veren bir ayardan yararlanır.
Mandiant, kampanyanın saldırganların IP adresinden mesaj göndermesiyle başladığını söyledi. 45.32.41.202. “Hemen hemen aynı anda, dosya sistemi çeşitli Fortinet yapılandırma dosyalarının aşamalarını /tmp/.tm adlı Gzip ile sıkıştırılmış bir arşive kaydetti.” Arşiv, FortiGate cihazları için konfigürasyon dosyalarının bulunduğu bir klasör de dahil olmak üzere dosyalar içeriyordu.
Google Mandiant, güvenliği ihlal edilen cihazlarda daha sonra herhangi bir kötü amaçlı etkinlik tespit etmemesine rağmen, Eylül ayında ikinci bir benzer etkinlik grubu tespit etti.
Mandiant, “Araştırmalarımızın bu aşamasında, UNC5820’nin elde edilen konfigürasyon verilerinden yararlanarak yanal yönde hareket ettiğine ve çevreye daha fazla zarar verdiğine dair hiçbir kanıt yok” dedi.
Mandiant, Fortinet’i olaylar hakkında uyardı ve Çarşamba günü iyileştirme adımları yayınlandı. Bir şirket sözcüsü, “Fortinet, kritik bilgileri ve kaynakları müşterilerine derhal iletti” dedi. “Devam eden yanıtımızın bir parçası olarak uygun uluslararası devlet kurumları ve sektör tehdit örgütleriyle koordinasyon sağlamaya devam ediyoruz.”
Dünya çapındaki ulusal siber güvenlik kurumları, Avustralya Siber Güvenlik Merkezi ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi de dahil olmak üzere şirketleri kendilerini korumaya çağırdı. Birleşik Krallık NCSC, kuruluşlardan bilgisayar korsanlarının bu kusurdan yararlandığından şüphelenmeleri durumunda geri bildirimde bulunmalarını istedi.
ABD Siber Güvenlik ve Altyapı Ajansı, çarşamba günü bu kusuru bilinen istismar edilen güvenlik açıkları listesine ekledi ve federal kurumlara bu açığı üç hafta içinde düzeltmeleri çağrısında bulundu.
Perşembe günü İsviçreli güvenlik firması InfoGuard’ın soruşturma başkanı Stephan Berger, şirketin Google Mandiant tarafından belirtilen TTP’lerin aynısını tespit ettiğini tweetledi.