Fortinet’in geçen ay ele aldığı FortiOS SSL-VPN’deki sıfır günlük bir güvenlik açığı, hükümeti ve diğer büyük kuruluşları hedef alan saldırılarda bilinmeyen aktörler tarafından istismar edildi.
Fortinet araştırmacıları, bu hafta yayınlanan bir ölüm sonrası analizde, “İstismarın karmaşıklığı, gelişmiş bir aktörü ve yüksek oranda hükümet veya hükümetle ilgili hedefleri hedef aldığını gösteriyor.” Dedi.
Saldırılar, kimliği doğrulanmamış bir uzak saldırganın özel olarak hazırlanmış istekler aracılığıyla rastgele kod yürütmesine olanak tanıyan, yığın tabanlı bir arabellek taşma kusuru olan CVE-2022-42475’in kötüye kullanılmasını gerektirdi.
Şirket tarafından analiz edilen enfeksiyon zinciri, nihai hedefin, Fortinet’in saldırı önleme sistemi (IPS) yazılımını tehlikeye atmak ve ek kötü amaçlı yazılım indirmek ve komutları yürütmek için uzak bir sunucuyla bağlantılar kurmak için donatılmış, FortiOS için değiştirilmiş genel bir Linux implantı yerleştirmek olduğunu gösteriyor.
Fortinet, saldırıların sonraki aşamalarında kullanılan yükleri kurtaramadığını söyledi. İzinsiz girişlerin ne zaman gerçekleştiğini açıklamadı.
Buna ek olarak, işleyiş biçimi, FortiOS günlük kaydını manipüle etmek ve tespit edilmeden kalmak için günlük işlemlerini sonlandırmak için “gelişmiş yeteneklerin” yanı sıra analizi engellemek için karartma kullanımını ortaya koyuyor.
Araştırmacılar, “FortiOS’taki olayların günlükleri olan elog dosyalarını arar” dedi. “Bellekteki sıkıştırılmış dosyaları açtıktan sonra, saldırganın belirttiği bir diziyi arar, siler ve günlükleri yeniden oluşturur.”
Ağ güvenlik şirketi ayrıca, istismarın “FortiOS ve temeldeki donanım hakkında derin bir anlayış” gerektirdiğini ve tehdit aktörünün FortiOS’un farklı bölümlerinde tersine mühendislik yapma becerilerine sahip olduğunu belirtti.
Saldırgana atfedilen keşfedilen Windows örneği, Avustralya, Çin, Rusya, Singapur ve diğer Doğu Asya ülkelerini içeren UTC+8 saat dilimindeki bir makinede derlenmiş eserler sergiledi.