Yakın zamanda gerçekleşen bir dizi saldırının sorumlusu muhtemelen sıfır gün hatasıdır. Fortinet FortiGate güvenlik duvarı halka açık İnternet’te yönetim arayüzlerine sahip cihazlar. Araştırmacılar, saldırganların yetkisiz yönetici oturum açma işlemleri ve diğer yapılandırma değişiklikleri yapmak, yeni hesaplar oluşturmak ve SSL VPN kimlik doğrulaması gerçekleştirmek için cihazları hedef aldığını tespit etti.
Arctic Wolf’taki araştırmacılar, kampanyayı ilk kez şüpheli aktiviteyi fark ettiklerinden beri izliyorlar. FortiGate cihazları Aralık ayı başında bir açıklamada açıkladılar son blog yazısı. Tehdit aktörlerinin etkilenen güvenlik duvarlarındaki (ürün yazılımı sürümleri 7.0.14 ile 7.0.16 arasında değişen) yönetim arayüzlerine erişim elde ettiğini ve yapılandırmalarını değiştirdiğini gözlemlediler. Üstelik saldırganlar, güvenliği ihlal edilmiş ortamlarda kimlik bilgilerini çıkarmak için DCSync’i de kullanıyordu.
Artic Wolf bir yayınladı güvenlik bülteni Aralık ayında kampanyanın keşfedilmesi üzerine, son blog gönderisi, saldırganların muhtemelen sıfır gün kusurundan yararlanması da dahil olmak üzere daha ayrıntılı ayrıntıları ortaya çıkardı. Ancak Arctic Wolf araştırmacılarına göre, etkilenen kuruluşlar arasındaki sıkıştırılmış zaman çizelgesi ve kampanyadan etkilenen ürün yazılımı sürümleri, saldırganların henüz açıklanmayan bir güvenlik açığından yararlandığını öne sürse de, bu ilk erişim vektörünü “kesin olarak doğrulamadılar”.
Kampanyanın kurbanlarının belirli bir sektörü veya kuruluş boyutunu temsil etmediğini, “hedeflemenin kasıtlı ve sistemli bir şekilde hedef almaktan ziyade doğası gereği fırsatçı olduğunu” öne sürdüğünü eklediler.
Araştırmacılar kampanyanın kapsamı veya hacmi hakkında ayrıntı vermedi.
Fortinet Yönetici Konsolunun Siber Kötüye Kullanımı
Araştırmacıları bu konuda ne uyardı? kötü niyetli etkinlik “meşru güvenlik duvarı etkinliklerinin aksine, gerçek şu ki [attackers] Gönderiye göre, bir avuç alışılmadık IP adresinden jsconsole arayüzünü kapsamlı bir şekilde kullandık. FortiGate yeni nesil güvenlik duvarı ürünleri, yöneticilerin Web tabanlı komut satırı arayüzü üzerinden komut satırı arayüzüne erişmesine olanak tanıyan standart ve “kullanışlı” bir özelliğe sahiptir. Araştırmacılar, yönetim arayüzünü açıkladı.
“FortiGate Bilgi Tabanına göre, Web tabanlı CLI konsolu aracılığıyla değişiklikler yapıldığında kullanıcı arayüzü, değişiklikleri yapan kişinin kaynak IP adresiyle birlikte jsconsole olarak günlüğe kaydedilir” diye yazdılar. “Buna karşılık, ssh aracılığıyla yapılan değişiklikler kullanıcı arayüzünde ssh olarak listelenecek.”
Araştırmacıların mevcut kampanyada bu tür komutların kullanıldığına dair doğrudan bir onayı yok; ancak gözlemlenen etkinliklerin jsconsole’u çağırma şekli açısından benzer bir model izlediğini eklediler.
Araştırmacılar, “İzinsiz girişler arasındaki ticari beceri ve altyapıdaki ince farklılıklar göz önüne alındığında, bu kampanyaya birden fazla kişi veya grubun dahil olması mümkündür, ancak jsconsole kullanımı genel olarak ortak bir konuydu” diye yazdı.
Dört Aşamalı Siber Saldırı Hala Devam Ediyor
Araştırmacılar, kampanyayı Kasım ayı ortasında başlayan dört aşamaya ayırdı: Güvenlik açığı tarama aşamasıyla başladı, ardından Kasım ayı sonunda keşif aşaması, Aralık ayı başında SSL VPN yapılandırma aşaması ve ardından tamamlandı. Aralık ortasından sonuna kadar yanal hareketle. Ancak kampanyanın devam ettiğini ve gelecekte daha fazla faaliyet ortaya çıkarabileceklerini belirttiler.
Araştırmacılar, “Bu aşamalar, birden fazla kurban kuruluşta ele geçirilen güvenlik duvarı cihazlarında gözlemlenen kötü amaçlı yapılandırma değişikliklerinin türleri ve tehdit aktörlerinin erişim sağladıktan sonra gerçekleştirdiği faaliyetlerle tanımlanıyor” dedi.
Tipik olarak, anormal IP adreslerinden yapılan başarılı jsconsole oturum açma işlemlerinin toplam sayısı, kampanyanın dört aşamasını kapsayan her kurban kuruluş için birkaç yüz ila birkaç bin giriş arasında değişiyordu.
Araştırmacılar, “Bu oturumların çoğu kısa sürdü ve bir saniye veya daha kısa sürede oturum kapatma olayları yaşandı” diye yazdı. “Bazı durumlarda, aynı saniye içinde birden fazla oturum açma veya oturum kapatma olayı meydana geldi ve saniyede en fazla dört olay meydana geldi.”
Yönetim Arayüzlerini Genel İnternet’e Maruz Bırakmayın
Fortinet cihazları tehdit aktörleri için popüler bir hedeftir. güvenlik açıkları ağları ihlal etmek için yaygın olarak kullanılan ürünlerde bulunur. Araştırmacılara göre kuruluşlar, saldırılara karşı korunmak için, ürün özellikleri ne olursa olsun, Fortinet cihaz yönetimi arayüzlerini hiçbir zaman halka açık İnternet’e çıkarmamalı. Bunun yerine, bu arayüzlere erişim güvenilir dahili kullanıcılarla sınırlı olmalıdır.
Gönderide, “Bu tür arayüzler halka açık internette açık bırakıldığında, tehdit aktörlerinin kullanabileceği saldırı yüzeyi genişletilir ve güvenilir yöneticilerle sınırlı olması amaçlanan özellikleri açığa çıkaran güvenlik açıklarını belirleme potansiyeli ortaya çıkar” diye yazdılar.
Yöneticiler ayrıca kusurları veya diğer güvenlik sorunlarını gidermek için cihazlardaki donanım yazılımını düzenli olarak güncellemeye yönelik yaygın en iyi uygulamayı izlemelidir. Ayrıca araştırmacılar, kötü amaçlı etkinlikleri erken yakalama olasılığını artırmak için kuruluşların tüm güvenlik duvarı cihazları için sistem günlüğü izlemenin yapılandırıldığından emin olmaları gerektiğini de ekledi.