Fortinet’in VPN sunucularının kayıt mekanizmasında, saldırganların tespit edilmeden kaba kuvvet saldırıları gerçekleştirmesine olanak tanıyan bir tasarım hatası ortaya çıkarıldı.
Pentera’daki siber güvenlik araştırmacıları tarafından ortaya çıkarılan bu güvenlik açığı, Fortinet’in kaba kuvvet saldırıları sırasında başarılı kimlik doğrulama girişimlerini günlüğe kaydetme becerisindeki kritik bir boşluğun altını çiziyor ve işletmeleri potansiyel ihlallere karşı savunmasız bırakıyor.
Sorun, Fortinet VPN sunucularının kimlik doğrulama ve yetkilendirme süreçlerini nasıl ele aldığında yatmaktadır. Bir kullanıcı oturum açmayı denediğinde sunucu üç sonuçtan biriyle yanıt verir: geçerli kimlik bilgileri, başarısız kimlik doğrulama veya aşırı sayıda başarısız denemeden kaynaklanan bir hata.
Ancak başarılı kimlik doğrulama girişimleri yalnızca VPN oturumunu kuran yetkilendirme aşamasından sonra günlüğe kaydedilir.
Bir saldırgan, kimlik bilgilerinin doğrulandığı ancak hiçbir oturumun oluşturulmadığı kimlik doğrulama aşamasında durursa, başarılı girişimin kaydı silinir.
Forrester TEI Çalışmasını hemen indirin ve kaydolun Siber güvenlik yatırım getirisini en üst düzeye çıkarmaya yönelik rehberlik.
Loglamada Kör Nokta
Bu, olay müdahale (IR) ekipleri için önemli bir kör nokta oluşturur. Başarısız oturum açma girişimleri kaydedilir, ancak başarılı kaba kuvvet girişimleri görünmez kalır.
Sonuç olarak Pentera, saldırganların güvenlik ekiplerini uyarmadan veya alarmları tetiklemeden sızdırılan kimlik bilgilerini doğrulayabildiğini söyledi.
Başarılı kimlik doğrulama girişimlerinin günlüğe kaydedilememesi ciddi riskler oluşturur:
- Algılama Olmadan Kimlik Bilgisi Doğrulaması: Saldırganlar, iz bırakmadan geçerli hesapları belirlemek için sızdırılan kimlik bilgilerini Fortinet VPN sunucularında test edebilir.
- Gecikmeli Yanıt: Günlükleri izleyen IR ekipleri, tüm kaba kuvvet girişimlerinin başarısız olduğunu, tehlikeye atılmış parolaları sıfırlama veya daha fazla araştırma yapma fırsatlarını kaçırdığını varsayabilir.
- Kimlik Bilgilerinin Kullanımı: Doğrulanmış kimlik bilgileri daha sonra yetkisiz erişim için kullanılabilir veya karanlık web pazarlarında satılabilir.
Uzman Önerileri
Fortinet bu sorunu bir güvenlik açığı olarak sınıflandırmasa da araştırmacılar bunun güvenliği zayıflattığını ileri sürüyor ve derhal harekete geçilmesini öneriyor:
- Gelişmiş Günlük Kaydı: Fortinet, başarılı veya başarısız tüm kimlik doğrulama girişimlerini en erken aşamada kaydedecek şekilde kayıt mekanizmalarını güncellemelidir. Bu, şüpheli etkinliklerin daha iyi görülebilmesini sağlayacaktır.
- Çok Faktörlü Kimlik Doğrulama (MFA): Fortinet VPN kullanan kuruluşlar, kaba kuvvet saldırılarına karşı ek bir güvenlik katmanı eklemek için MFA’yı zorunlu kılmalıdır.
- Düzenli Denetimler ve Güncellemeler: Kuruluşlar VPN yapılandırmalarını sık sık denetlemeli ve bilinen güvenlik açıklarını gidermek için güncellemeler uygulamalıdır.
- Web Uygulaması Güvenlik Duvarları (WAF’ler): WAF’ların VPN sunucularının önüne dağıtılması, kaba kuvvet girişimlerini tespit etmeye ve engellemeye yardımcı olabilir.
Fortinet bu sorunu çözene kadar kuruluşlar proaktif önlemler alabilir:
- Oturum oluşturmadan kimlik bilgisi doğrulamasını gösterebilecek önceden “SSL tüneli kuruldu” günlükleri olmadan “SSL tüneli kapatma” girişleri gibi anormallikler için günlükleri izleyin.
- Kaba kuvvet saldırılarını caydırmak için oturum açma girişimlerini sınırlayın ve engelleme sürelerini yapılandırın.
- Maruziyeti azaltmak için özel SSL bağlantı noktaları ve güçlü şifreleme protokolleri kullanın.
Bu kusur, kurumsal ağların güvenliğini sağlamada güçlü günlük kaydı ve izleme uygulamalarının önemini vurgulamaktadır. Bu güvenlik açığına şu anda Fortinet tarafından bir çözüm sunulmasa da kuruluşların telafi edici kontroller uygulamak ve saldırı yüzeylerini azaltmak için hızlı hareket etmeleri gerekiyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin