Saldırganlar, Fortinet güvenlik duvarlarını ele geçirmek ve kurumsal ağları ihlal etmek için FortiOS ve FortiProxy’deki yeni kimlik doğrulama atlama sıfır gün güvenlik açığından yararlanıyor.
Bu güvenlik açığı (CVE-2024-55591 olarak izlenir) FortiOS 7.0.0 ila 7.0.16, FortiProxy 7.0.0 ila 7.0.19 ve FortiProxy 7.2.0 ila 7.2.12 arasındaki sürümleri etkiler. Başarılı bir şekilde yararlanma, uzaktaki saldırganların Node.js websocket modülüne kötü amaçlı isteklerde bulunarak süper yönetici ayrıcalıkları elde etmesine olanak tanır.
Fortinet, sıfır günü istismar eden saldırganların ele geçirilen cihazlarda rastgele oluşturulmuş yönetici veya yerel kullanıcılar oluşturduğunu ve bunları mevcut SSL VPN kullanıcı gruplarına veya kendi ekledikleri yeni gruplara eklediklerini söylüyor.
Ayrıca güvenlik duvarı politikalarını ve diğer ayarları ekledikleri veya değiştirdikleri ve “dahili ağa bir tünel açmak için” önceden oluşturulmuş hileli hesapları kullanarak SSLVPN’de oturum açtıkları da gözlemlendi.
Şirket kampanya hakkında ek bilgi sağlamazken, siber güvenlik şirketi Arctic Wolf Cuma günü, eşleşen güvenlik ihlali göstergelerini (IOC’ler) içeren bir rapor yayınladı. Bu rapor, internete açık yönetim arayüzlerine sahip Fortinet FortiGate güvenlik duvarlarının 2020 yılının ortasından bu yana saldırı altında olduğunu söylüyor. Kasım.
Arctic Wolf Labs, “Kampanya, güvenlik duvarlarının yönetim arayüzlerinde yetkisiz yönetici girişlerini, yeni hesapların oluşturulmasını, bu hesaplar aracılığıyla SSL VPN kimlik doğrulamasını ve diğer çeşitli yapılandırma değişikliklerini içeriyordu.” dedi.
“İlk erişim vektörü kesin olarak doğrulanmamış olsa da, sıfır gün güvenlik açığının ortaya çıkma ihtimali oldukça yüksek. Kuruluşlar, halka açık arayüzlerde güvenlik duvarı yönetimi erişimini mümkün olan en kısa sürede acilen devre dışı bırakmalıdır.”
Fortinet ayrıca, bugünkü danışma belgesinde yöneticilere, geçici bir çözüm olarak HTTP/HTTPS yönetim arayüzünü devre dışı bırakmalarını veya yerel giriş politikaları yoluyla yönetim arayüzüne erişebilecek IP adreslerini sınırlamalarını tavsiye etti.
Arctic Wolf ayrıca bu CVE-2024-55591 kitlesel sömürü kampanyası için dört aşamayı içerdiğini söyleyerek bir zaman çizelgesi de sağladı:
- Güvenlik açığı taraması (16 Kasım 2024 – 23 Kasım 2024)
- Keşif (22 Kasım 2024 – 27 Kasım 2024)
- SSL VPN yapılandırması (4 Aralık 2024 – 7 Aralık 2024)
- Yanal Hareket (16 Aralık 2024 – 27 Aralık 2024)
Siber güvenlik, “Bu kampanyada kullanılan ilk erişim vektörü henüz doğrulanmamış olsa da, Arctic Wolf Labs, sıfır gün güvenlik açığından toplu olarak yararlanılmasının, etkilenen kuruluşlar arasındaki sıkıştırılmış zaman çizelgesi ve etkilenen ürün yazılımı sürümleri göz önüne alındığında büyük olasılıkla gerçekleştiğini yüksek bir güvenle değerlendiriyor.” firma eklendi.
“İzinsiz girişler arasındaki ticari beceri ve altyapıdaki ince farklılıklar göz önüne alındığında, bu kampanyaya birden fazla kişi veya grubun dahil olması mümkündür, ancak jsconsole kullanımı genel olarak ortak bir konuydu.”
Fortinet ve Arctic Wolf neredeyse aynı IOC’leri paylaştı ve cihazların hedeflenip hedeflenmediğini belirlemek için aşağıdaki girişlere ilişkin günlükleri inceleyebileceğinizi belirtti.
Güvenlik açığı üzerinden oturum açtıktan sonra günlükler rastgele bir kaynak IP ve hedef IP gösterecektir:
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
Tehdit aktörleri bir yönetici kullanıcı oluşturduktan sonra, rastgele oluşturulmuş bir kullanıcı adı ve kaynak IP adresi gibi görünen bir günlük oluşturulacaktır:
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
Güvenlik şirketleri ayrıca saldırganların saldırılarda yaygın olarak aşağıdaki IP adreslerini kullandıkları konusunda uyardı:
1.1.1.1
127.0.0.1
2.2.2.2
8.8.8.8
8.8.4.4
Arctic Wolf, saldırılar hakkında Fortinet’e 12 Aralık 2024’te bilgi verdiğini ve 17 Aralık 2024’te FortiGuard Labs PSIRT’den bu aktivitenin bilindiği ve halihazırda araştırılmakta olduğuna dair onay aldığını söyledi.
Bugün Fortinet, kritik bir sabit kodlu kriptografik anahtar güvenlik açığına (CVE-2023-37936) yönelik güvenlik yamaları da yayınladı. Bu güvenlik açığı, uzaktaki, kimliği doğrulanmamış, anahtara sahip saldırganların hazırlanmış şifreleme istekleri yoluyla yetkisiz kod çalıştırmasına olanak tanır.
Aralık ayında Volexity, Çinli bilgisayar korsanlarının kimlik bilgilerini çalmak amacıyla Fortinet’in FortiClient Windows VPN istemcisindeki sıfır gün güvenlik açığından (CVE kimliği olmayan) yararlanmak için ‘DeepData’ adı verilen özel bir istismar sonrası araç seti kullandığını bildirdi.
İki ay önce Mandiant, “FortiJump” (CVE-2024-47575 olarak izlenen) adlı bir Fortinet FortiManager kusurunun Haziran ayından bu yana 50’den fazla sunucuyu ihlal etmek için sıfır gün olarak kullanıldığını açıklamıştı.