Mandiant, UNC3886 olarak tanımlanan Çin bağlantılı bir grubun bu güvenlik açığından yararlandığına inanıyor.
Siber güvenlik araştırmacılarına göre Google’a ait Mandiant, Çinli casusluk aktörlerinin, kimlik bilgilerini çalmak ve ağa erişimi sürdürmek için özel ağ oluşturma kötü amaçlı yazılımı kullanarak Fortinet’teki kritik bir güvenlik açığından yararlandığından şüpheleniliyor. Saldırılar 2022 ortalarında gözlemlendi.
Çinli Casuslara Yardım Eden FortiOS’taki Kritik Güvenlik Açığı
Mandiant araştırmacıları, hatanın FortiOS’ta bulunan ve şu şekilde izlenen yerel bir dizin geçişi sıfır gün güvenlik açığı olduğunu açıkladı: CVE-2022-41328ve Mart 2023’ün başlarında Fortinet tarafından yamalandı.
Araştırmacılar, Çin ile bağlantıları olan bir tehdit aktörünün kurban ortamlarına eriştiğine ve kalıcılığı sürdürmek için Fortinet ve VMware yazılımlarına arka kapılar yerleştirdiğine inanıyor. sıfır gün güvenlik açığısaldırganın işletim sisteminde birden çok özel kötü amaçlı yazılım türü dağıtmak için kullandığı.
Hangi Ürünler Hassastır?
Mandiant’ın Fortinet ile işbirliği içinde yürüttüğü araştırmasına göre FortiManager, FortiGate ve FortiAnalyzer dahil olmak üzere çok sayıda Fortinet ürünü bu güvenlik açığından etkilendi. Saldırganlar, büyük kuruluşları hedeflemek, hassas verileri çalmak ve dosya veya işletim sistemi bozulması uygulamak için kusurdan yararlanır.
“İstismarın karmaşıklığı, gelişmiş bir aktöre ve yüksek oranda hükümete veya hükümetle ilgili hedeflere yönelik olduğunu gösteriyor.”
“İstismar, FortiOS ve altında yatan donanım hakkında derin bir anlayış gerektiriyor. Özel implantlar, aktörün FortiOS’un çeşitli parçalarının tersine mühendislik de dahil olmak üzere gelişmiş yeteneklere sahip olduğunu gösteriyor,” diyor Mandiant’s. rapor Okumak.
Nasıl İstismar Ediliyor?
Saldırgan, FortiGate disklerine kabuk erişimiyle izin verilen normal sınırların dışında dosya yazmak için CVE-2022-41328 istismarını kullandı. Saldırgan, ICMP bağlantı noktası çalma yoluyla güvenlik duvarı içinde Süper Yönetici ayrıcalıkları kazandıktan sonra, kalıcı erişimi sürdürdü.
Ayrıca pasif bir trafik yeniden yönlendirme yardımcı programıyla FortiManager cihazlarında aktif güvenlik duvarı kurallarını atlattılar. Bu, saldırganın Süper Yönetici ayrıcalıklarına sahip kalıcı arka kapılar ile sürekli bir bağlantı kurmasına izin verdi.
Saldırgan, hedeflenen cihazda oluşturulan özel bir API uç noktası kullanarak FortiAnalyzer ve FortiManager cihazlarında kalıcılık sağladı. Ayrıca, önyükleme dosyalarını bozarak sistem dosyalarının OpenSSL 1.1.0 dijital imza doğrulamasını devre dışı bırakabilirler.
Saldırgan kim?
Mandiant, UNC3886 olarak tanımlanan Çin bağlantılı bir grubun bu güvenlik açığından yararlandığına inanıyor. Bu grup, Eylül 2022’de keşfedilen yeni VMware ESXi hiper yönetici kötü amaçlı yazılım çerçevesiyle bağlantılıdır. O sırada Mandiant araştırmacıları, UNC3886’nın FortiManager ve FortiGate cihazlarıyla doğrudan bağlantılı olduğunu fark ettiler. SANAL PITA arka kapılar
Mandiant CTO’su Charles Carmakal’a göre, Çinli tehdit aktörleri son zamanlarda DIB’yi, telekomünikasyonları, hükümeti ve teknolojiyi hedef aldı. Bir sisteme saldırı olup olmadığını tespit etmek zor olduğu için saldırılar yıllarca devam edebilir.
Araştırmacılar, bu nedenle kuruluşların bu cihazların güvenliğini artırması ve şüpheli etkinlikleri kontrol etmeye devam etmesi gerektiği sonucuna vardı.
ALAKALI HABERLER
- Windows Logosunda Kötü Amaçlı Yazılım Gizleyen Çinli Bilgisayar Korsanları
- Çinli Hackerlar Group-IB Siber Güvenlik Firmasını Hedef Aldı
- Fortinet VPN kullanıcılarının oturum açma verileri düz metin olarak döküldü
- Fortinet ürünleri uzlaşmacı şirketlere devre dışı bırakıldı
- Çinli Sharp Panda grubu, SoulSearcher kötü amaçlı yazılımını bıraktı