Dalış Kılavuzu:
- Superblack olarak izlenen yeni keşfedilen fidye yazılımı suşu, Ocak ayından bu yana Fortinet’te kritik güvenlik açıklarını hedefleyen bir dizi saldırıda kullanıldı. Bir rapora göre Araştırma-Vedere Labs Forescout tarafından.
- Saldırılar iki güvenlik açığının sömürülmesini içeriyordu, CVE-2024-55591 Ve CVE-2025-24472kimlik doğrulanmamış saldırganların Fortios güvenlik duvarlarında süper yönetici ayrıcalıkları kazanmasına izin verebilir.
- Araştırmacılar saldırıları, Lockbit fidye yazılımı işlemleri ile operasyonel örtüşmeler olan MORA_001 olarak izlenen bir tehdit aktörüne bağlar.
Dalış içgörü:
Araştırmacılar, bir gün içinde iki farklı yöntem kullanarak aktif sömürü gözlemlediler. kavram kanıtı Forescout Research blog yazısına göre Suplosit 27 Ocak’ta yayınlandı.
Bazı durumlarda, saldırılar JConsole arayüzündeki bir güvenlik açığı yoluyla WebSocket güvenlik açığından yararlanmayı içeriyordu.
Diğer durumlarda, sömürü doğrudan HTTPS istekleri kullanılarak meydana geldi. Bu yöntem günlüklerde farklı görünse de, araştırmacılar aynı altta yatan güvenlik açığının hedeflendiğini söyledi.
İlk giriş girişimleri rastgele oluşturulan beş karakterli kullanıcı adı kullanılarak yapıldı. Tehdit oyuncusu daha sonra yerel sistem yönetici kullanıcıları yarattı.
Araştırmacılar, en fazla maruz kalan fortigate güvenlik duvarlarının 7.677 ile ABD’de olduğunu ve bunu Hindistan ve Brezilya izlediğini söyledi.