Kritik Altyapı Güvenliği, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Çok Sayıda Ulus-Devlet Hacking Grubu Bilinen Güvenlik Açıklarından Aktif Olarak Yararlanıyor
Mathew J. Schwartz (euroinfosec) •
8 Eylül 2023
Siber güvenlik yetkilileri, çok sayıda ulus-devlet hack grubunun Zoho ManageEngine yazılımındaki ve yamaların mevcut olduğu Fortinet güvenlik duvarlarındaki bilinen kusurlardan yararlandığı konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, yeni bir uyarıda, havacılık sektöründeki isimsiz bir kuruluşta Şubat’tan Nisan’a kadar yürüttüğü bir soruşturma aracılığıyla her iki güvenlik açığının da nasıl istismar edildiğine ilişkin ayrıntıları içeriyor.
CISA, Ocak ayından itibaren birden fazla APT grubunun, yetkisiz erişim elde etmek ve kuruluştan veri sızdırmak için iki farklı kritik güvenlik açığından ayrı ayrı yararlandığını tespit etti.
İlgisiz kusurların her ikisi de (Zoho ManageEngine’deki CVE-2022-47966 ve Fortinet FortiOS SSL VPN’deki CVE-2022-42475) kritik önemde olarak sınıflandırıldı; bu, uzaktan kod yürütmek için istismar edilebilecekleri ve saldırganların kontrolü ele geçirmesine olanak tanıyacağı anlamına geliyor. Sistemin ve ağın diğer bölümlerine dönme. Satıcıların her biri, 2022’nin sonlarında kusurlarına yama uygulayan güncellemeler yayınladı. Araştırmacılar, henüz yama bulunmayan sıfır gün güvenlik açığının aksine, bunları bilinen kusurlar anlamına gelen N-gün güvenlik açıkları olarak adlandırıyor.
CISA, FBI ve ABD Siber Komutanlığının Siber Ulusal Görev Gücü tarafından yayınlanan uyarıda, saldırganların kurbanların ağlarına daha geniş erişim elde etmek için her bir kusuru nasıl kullandığına ilişkin ayrıntılar yer alıyor. Tavsiye belgesinde, hangi ulusun veya ulusların APT gruplarının bu kusurların bilinen istismarlarıyla bağlantılı olduğu belirtilmiyor. Özel sektör raporları daha önce Çin, İran ve Kuzey Kore ile işbirliği yapan bilgisayar korsanlarını bu güvenlik açıklarından bilinen istismarlarla ilişkilendirmişti.
Hedef: Zoho ManageEngine
Geçtiğimiz Ekim ayında Zoho, ServiceDesk Plus ve Vulnerability Manager Plus gibi BT yönetim araçları da dahil olmak üzere çok sayıda ManageEngine OnPremise ürününün, “güncelliğini kaybetmiş bir üçüncü taraf” kullanımı nedeniyle “kimliği doğrulanmamış uzaktan kod yürütme güvenlik açığına” (CVE-2022-47966) sahip olduğu konusunda uyardı. Apache Santuario’yu içeren “bağımlılık”. Satıcı geçen Ekim ve Kasım aylarında etkilenen ürünler için yamalar yayınladı. Bu kusurdan yararlanmaya yönelik kavram kanıt kodu 19 Ocak’ta ortaya çıktı.
Saldırıya uğrayan havacılık firmasıyla ilgili olarak, CISA ve diğer ABD hükümeti müfettişleri tarafından hazırlanan rapor, saldırganların 20 Ocak’ta bu güvenlik açığından yararlanarak firmanın halka açık Zoho ManageEngine ServiceDesk Plus uygulamasını barındıran web sunucusuna kök düzeyinde erişim elde ettiğini belirtiyor. Saldırganlar buradan daha fazla kötü amaçlı yazılım indirdiler, ağı araştırdılar, yönetici kimlik bilgilerini çalmak için Mimikatz’ı kullandılar, Meterpreter adı verilen bir Metasploit çeşidi yüklediler, SSH aracılığıyla kalıcılık eklediler, uzak masaüstü protokol bağlantılarını başlattılar ve daha fazlasını gerçekleştirdiler.
Raporda, hükümet müfettişlerinin “özel bilgilere erişilip erişilmediğini, değiştirilip değiştirilmediğini veya sızdırıldığını belirleyemediği” belirtildi. “Bunun nedeni, kuruluşun verilerinin merkezi olarak nerede bulunduğunu açıkça tanımlamaması ve CISA’nın ağ sensörü kapsamının sınırlı olmasıydı.”
Raporda saldırıyla ilgili bir bilgi verilmese de Microsoft, İranlı bilgisayar korsanlarının POC kodunun yayımlandığı gün güvenlik açığını hedef alan saldırılar başlatmaya başladığını bildirdi. Teknoloji devi, bu saldırılardan bazılarının izini Mint Sandstorm kod adlı, İslam Devrim Muhafızları Birliği’nin katılımını da içeren ve APT42, Cobalt Illusion ve TA453 olarak da bilinen bir gruba kadar takip etti.
Microsoft’un o dönemde bildirdiğine göre, “Birçok saldırgan ilk erişim için CVE-2022-47966’yı kullandığından, bu güvenlik açığının kapatılması bu spesifik kampanyanın ötesinde faydalıdır.”
Saldırganlar kusuru kötüye kullanmaya devam etti. Geçtiğimiz ay Cisco Talos, Kuzey Kore’deki Lazarus Grubu’na dayandığı anlaşılan ve Zoho ManageEngine güvenlik açığını hedef alarak QuietRAT adlı bir Truva atı dağıtan bir casusluk kampanyasını ayrıntılarıyla anlattı. Cisco Talos, kampanyanın mayıs ayında başladığını ve ABD ve Avrupa’nın internet omurgası altyapısı ile sağlık kuruluşlarına odaklandığını söyledi.
Hedef: Fortinet FortiOS
CISA’nın bildirdiğine göre havacılık firması, Zoho ManageEngine yazılımını kullanan gruptan farklı bir grup tarafından başlatılan ve Fortinet güvenlik duvarına erişim sağlayan bir saldırıya da kurban gitti.
Fortinet, 12 Aralık 2022’de kusur için yamalar yayınlarken, FortiOS SSL VPN cihazlarında istismar edilen CVE-2022-42475 güvenlik açığının, saldırganların uzaktan kod veya komut yürütmek için kullanabileceği “yığın tabanlı arabellek taşması güvenlik açığı” olduğunu bildirdi. Zamanında, güvenlik açığının zaten aktif olarak vahşi doğada istismar edildiğini söyledi.
CISA, havacılık firmasının bilgisayar korsanının bu kusuru kurumun güvenlik duvarına erişmek için kullandığını ve ardından bilinen kötü amaçlı IP adreslerinden birden fazla VPN bağlantısı kurduğunu söyledi. Araştırmacılar, saldırganların daha önce eski bir yükleniciye atanmış devre dışı bırakılmış bir yönetici hesabı için de meşru kimlik bilgilerini kullandığını tespit etti.
Saldırganların hesabı yeniden etkinleştirdiğini ve birden fazla sunucudaki günlükleri sildiğini belirterek, “Kuruluş, kullanıcının gözlemlenen etkinlikten önce devre dışı bırakıldığını doğruladı” dedi. “Bu durum, kuruluşun Ağ Adresi Çevirisi IP günlüğünü etkinleştirememesi nedeniyle daha da kötüleşen, devam eden istismarı veya veri sızıntısını tespit etme yeteneğini engelledi” dediler. NAT IP günlüklerinin tutulması, araştırmacıların paketlerin harici IP adreslerinden ve bağlantı noktalarından dahili istemcilere nasıl aktığını izlemelerine yardımcı olur.
Zoho güvenlik açığından yararlanılmasında olduğu gibi rapor, saldırıyı herhangi bir APT grubuna atfetmiyor. Birden fazla grup bu kusuru hedefliyor olabilir.
Geçen Ocak ayında, Google’ın Mandiant olay-müdahale bölümü, Fortinet’in FortiOS SSL-VPN’indeki güvenlik açığını hedef alan ve Çinli bir bilgisayar korsanlığı grubuna dayandığından şüphelenilen saldırılar gördüğünü bildirdi. Mandiant’ın bildirdiğine göre “Olay, Çin’in güvenlik duvarları, izinsiz giriş önleme ve tespit sistemleri ve daha fazlası dahil olmak üzere, özellikle yönetilen güvenlik amaçları için kullanılan internete yönelik cihazlardan yararlanma modelini sürdürüyor.”
Mandiant, “Kanıtlar istismarın Ekim 2022 gibi erken bir tarihte gerçekleştiğini gösteriyor” diye ekledi ve “tanımlanan hedeflerin arasında bir Avrupa devlet kurumu ve Afrika’da bulunan bir yönetilen hizmet sağlayıcının yer aldığını” belirtti.
Hedefleri Tekrarla
Bu, saldırganların Zoho ManageEngine ve Fortinet SSL VPN ürünlerinde yamaların mevcut olduğu güvenlik açıklarını hedeflediği ilk sefer değil. Geçen ay, ABD ve Beş Göz istihbarat ortakları (Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık), suçluların ve APT gruplarının 2022’de en sık yararlandığı 12 güvenlik açığını ayrıntılarıyla anlatan ortak bir güvenlik tavsiye belgesi yayınladı (bkz.: Yama Bilmecesi: 5 Yaşındaki Kusur Yine En Çok Vurulanlar Listesinin Başında).
Bunlardan biri, satıcının Eylül 2021’de yamaladığı Zoho ManageEngine’deki CVE-2021-40539 olarak adlandırılan uygunsuz bir kimlik doğrulama hatasıdır.
En önemli 12 güvenlik açığından bir diğeri de Fortinet SSL VPN’deki CVE-2018-13379 olarak adlandırılan ve satıcının Mayıs 2019’da yamaladığı yol geçiş hatasıdır.
Dört yıl sonra yetkililer, saldırganların kurumsal ağlara kolay erişim sağlamak için FortiOS kusurunu kötüye kullanmaya devam ettiği konusunda uyardı. Danışman, “Sömürünün devam etmesi, birçok kuruluşun yazılıma zamanında yama yapmada başarısız olduğunu ve kötü niyetli siber aktörlere karşı savunmasız kaldığını gösteriyor” dedi.