Bu ayın başlarında tespit edilen Fortinet SSL VPN’lerini hedefleyen kaba kuvvet girişimlerinde yapılan bir artış, Fortinet cihazlarında şu anda açıklanmayan (potansiyel olarak sıfır gün) güvenlik açıklarından yararlanan yakın saldırıların bir portasyonu olabilir.
Değişme saldırıları
Global pasif sensörler ağı aracılığıyla, internet çapında tarama etkinliği hakkında veri toplayan, analiz eden ve etiketleyen bir siber güvenlik istihbarat hizmeti olan Geynoise, Salı günü iki saldırı dalgasını tespit ettiklerini söylediklerini paylaştı:
- 3 Ağustos’ta780’den fazla benzersiz IPS şirketin tetikledi Fortinet SSL VPN Bruteforcer Tag (Fortinet SSL VPN’lerine karşı kaba kimlik bilgilerini zorlamaya çalışırken gözlenen IP adreslerini kaydeden) ve bunların yanı sıra Fortios Profil, “Fortinet’in SSL VPN’lerinin kasıtlı ve hassas hedeflenmesini önermek”
- 5 Ağustos’tan itibarentamamen farklı bir TCP imzasına sahip ikinci bir dalga, şirketin hedeflenmesine kaydı Fortimanager – FGFM profil (hala tetiklerken Fortinet SSL VPN Bruteforce etiketi)
Şirket, “Bu, saldırgan davranışında bir değişim olduğunu gösterdi-potansiyel olarak aynı altyapı veya araç seti yeni bir Fortinet’e bakan hizmete döndü” dedi.
(SSL VPN, Fortinet’in tescilli Fortios Linux tabanlı işletim sistemini çalıştıran Fortinet’in Fortigate güvenlik duvarlarının bir özelliğidir. Diğer Fortinet cihazlarının çoğunun VPN yeteneği yoktur-tek istisna, Fortipinet’in güvenli web proxy çözümüdür. 7.4.4.)
Olası sıfır gün sömürüsü ile ilgili endişeler
Şirket, “Grinnoise araştırması, saldırgan faaliyetlerindeki artışların genellikle aynı satıcıyı etkileyen yeni güvenlik açıklarından önce geldiğini gösterdi – gözlemlenen vakaların yüzde 80’i ve ardından altı hafta içinde bir CVE ifşası” dedi.
“Aslında, Geynoise aktivitedeki ani artışların tetiklendiğini buldu [the Fortinet SSL VPN Bruteforcer tag] Fortinet ürünlerindeki gelecekteki açıklanan güvenlik açıkları ile anlamlı bir şekilde ilişkilidir. ”
Fortinet, kısa bir süre önce çeşitli ürünlerinde, Wild-InsoMoit kodlu bir Fortisiem güvenlik açığı ve Fortimanager & FortimAnager bulutunda, kimlik doğrulamalı bir uzaktan saldırganın FGFM hazırlanmış taleplerle rastgele dosyaların üzerine çıkmasına izin verebilecek orta yüzlü bir yol geçiş kırılganlığı da dahil olmak üzere bir dizi güvenlik açığı için düzeltmeler yayınladı.
Muhtemelen ilgili haberlerde, birisi bir yeraltı suçlu forumu aracılığıyla Fortios VPN sürümleri 7.4-7.6’yı etkileyen 0 günlük uzaktan kod yürütme (RCE) istismarını satmayı teklif ediyor. Belirtilen fiyat, şu anda 60.000 dolar civarında olan 0.5 bitcoindir, ancak teklifin meşru olup olmadığından emin olmak imkansızdır mı yoksa sadece ilgili tarafları dolandırma girişimidir.
Fortinet cihazlarının yöneticileri, kötü niyetli IP’lerden gelen trafiği engellemeli ve/veya trafiği yalnızca güvenilir IPS ile sınırlandırmalı ve hem cihazları hem de kullanıcı hesaplarını Brute-Force ve diğer tür saldırılarına karşı sertleştirmek için önerilen en iyi uygulamaları uygulamalıdır.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!