Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Bilgisayar Korsanları Tersine Mühendislik Şubat Yamasını Kullanabilir
David Perera (@daveperera) •
16 Ekim 2024
Bilgisayar korsanları, Fortinet ağ geçidi cihazlarına yönelik aylarca süren bir yamayı atlatmış olabilir ve bu da ABD federal hükümetinin aktif olarak kullanılması konusunda uyarı almasına neden olabilir.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
En az bir güvenlik araştırmacısı, Fortinet’in ayrıca Ortak Güvenlik Açıkları ve Etkilenmeler sistemi aracılığıyla henüz kodlanmamış başka bir sıfır gün güvenlik açığı olasılığıyla karşı karşıya olduğunu söylüyor.
Silikon Vadisi güvenlik duvarı ve VPN üreticisi, son iki yılda ulus devlet hackerlarının ilgisinin hızla arttığını gören uç cihaz üreticileri arasında yer alıyor. Hollanda Ulusal Siber Güvenlik Merkezi tarafından Şubat ayında tespit edilen Fortigate güvenlik cihazlarını hedef alan bir Çin siber casusluk kampanyasının, Haziran ayında yaptığı uyarıda, “önceden bilinenden çok daha büyük” olduğu uyarısında bulunuldu.
Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından 9 Ekim’de iletilen ABD federal danışma belgesinde, bilgisayar korsanlarının CVE-2024-23113’ü aktif olarak istismar ettiği belirtildi. Bu kusur, saldırganların Fortinet cihazlarına güç veren özel Linux işletim sistemini çökerten özel olarak biçimlendirilmiş bir dize iletmesine olanak tanıyor. Bilgisayar korsanları dizeye bir kullanıcı eklemek veya yapılandırma güncellemelerini göndermek için talimatlar ekleyebilir.
Fortinet, CVSS 10 ölçeğinde 9,8 olarak derecelendirilen kusuru Şubat ayında yamalayarak uygulamayı kritik hale getirdi. Shadowserver Foundation tarafından yapılan internet taramaları dünya çapında yaklaşık 88.000 savunmasız örneği gösteriyor.
Bazı güvenlik araştırmacıları Şubat yamasının hatayı tam olarak ortadan kaldırmadığını söylüyor.
Bobby, “Olduğundan şiddetle şüphelendiğim şey, Fortinet’in onu yamalaması, tüm işlevi titizlikle test etmemesi ve sonra birisinin (büyük olasılıkla bir ulus devlet aktörü) aynı kusurdan yararlanmak için hafifçe değiştirilmiş bir saldırı kullanabileceğini keşfetmesiydi” dedi. Kuzma, ProCircular’ın saldırı siber operasyonları direktörü.
Kuzma, Bilgi Güvenliği Medya Grubu’na verdiği demeçte, bu yöne işaret eden göstergeler arasında, CVE-2024-23113 istismarlarına yönelik kavram kanıt depolarının geçtiğimiz hafta GitHub’da aniden ortadan kaybolmasının da yer aldığını söyledi. Bu, siber güvenlik uzmanlarının kusurla ilgili endişelerinin kanıtıdır.
Fortinet ayrıca hafta sonu müşterilerine güvenlik duvarı kurallarını güncellemelerini tavsiye ederek, belirli bir dizi düzenine dayalı veya çok sınırlı bir IP adresi kümesinden saldırı önerildiğini de sözlerine ekledi. ISMG, bir sistem yöneticisinin “TLP:AMBER+STRICT” ifşa sınırlarını taşıdığını belirttiği tavsiyeyi görmedi.
Güvenlik araştırmacısı Kevin Beaumont, çarşamba günü yaptığı açıklamada, bu uyarının CVE-2024-23113’teki ayrı bir güvenlik açığının kanıtı olduğunu öne sürdü.
Eğer Beaumont haklıysa ve Fortinet yorum yapmak için birden fazla girişimde bulunmadıysa sıfır gün, Fortinet müşterilerinin bu yıl hafifletmek zorunda kaldığı kritik veya yüksek olarak derecelendirilen bir dizi güvenlik açığının sonuncusu olabilir. Fortinet’in bu yıl şu ana kadar kaydettiği 27 CVE’den neredeyse 10’dan dördü CVSS ölçeğinde en az 7 puan alıyor; buna Şubat ayında vahşi ortamda istismar edilen sıfır gün de dahil.
WithSecure’un Haziran ayında yaptığı araştırmaya göre uç cihaz ve ağ altyapısındaki güvenlik açıkları, siber güvenlik aciliyeti ölçümlerinde yüksek oranlara sahip olma eğiliminde. Siber güvenlik şirketi, CISA’nın aktif olarak istismar edildiği konusunda uyardığı uç cihaz ve altyapı kusurlarının sayısının da bu yıl geçen yıla kıyasla önemli ölçüde arttığını söyledi.
Kuzma, uç nokta cihazlarının aksine, uç cihazların düzenli bir yama güncellemesi temposuna tabi tutulmadığını söyledi. Ancak bunlardan faydalanmak mutlaka zor değil. “Cihazların çoğu, kelimenin tam anlamıyla süslü kasalara sahip Linux kutularıdır. Bunlar, sahip olduğunuz tüm güce, kapasiteye ve aşinalığa sahip olan standart Linux sistemleridir.”
Uç noktaların hacklenmesi zorlaştıkça ve genellikle sıkı tespit ve günlük kaydı gereksinimlerine tabi olmadıkları için bilgisayar korsanları uç cihazlara yöneldi. Kuzma, bilgisayar korsanlarının bir uç cihaza girmeyi başardıklarında çoğunun “ağ ortamının geri kalanıyla konuşma konusunda herhangi bir kısıtlamaya” sahip olmadığını söyledi.