Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik İşlemleri
‘Fidye Yazılımı Saldırıları Dalgası’ Fortios ve Fortiproxy Cihazlarına Hit, Warn Uzmanları
Mathew J. Schwartz (Euroinfosec) •
21 Mart 2025
Siber savunucular, Fortinet Fortios ve Fortiproxy cihazlarında bilinen iki güvenlik açıkını hedefleyerek ilk erişim elde eden saldırganlar tarafından serbest bırakılan bir “fidye yazılımı saldırıları dalgası” gördüklerini söyledi.
Ayrıca bakınız: Bulut güvenliği ve güvenlik duvarının gelişen rolü
Perşembe günü Perşembe günü, Avusturya’nın bilgisayar acil müdahale ekibi Cert.at, “Özellikle çarpıcı olan, cihazı başarıyla enfekte ettikten ve kalıcılık oluşturduktan sonra saldırganların etkilenen cihazların yazılımını güncellemesidir.” Dedi.
Cert.at, “Bu, saldırıyı gizlemeye ve diğer saldırganların aynı güvenlik açığını tekrar kullanmasını önlemeye hizmet ediyor.” Dedi. Diyerek şöyle devam etti: “Bu nedenle kuruluşlar yanlışlıkla, zaten tehlikeye girmiş olsalar bile sistemlerinin güvenli ve güncel olduğunu varsayabilirler.”
Başlangıç erişimi kazandıktan sonra, savunucular saldırganların kalıcı yönetici hesapları oluşturduğunu, yapılandırma dosyalarını indirdiğini, VPN erişimi kazandığını ve fidye yazılımlarını açığa çıkarmadan önce ağ boyunca yanal olarak hareket ettiğini gördüler.
Uyarı, 13 Mart’ta siber güvenlik firması Forescout’u, en az bir saldırganın Fortinet cihazlarındaki bilinen iki, kurban ağlarına ilk erişim elde etmek için aktif olarak hedeflediğini bildiriyor.
Forescout, saldırıların Fortinet cihazlarında iki benzer kusur hedeflediğini söyledi: CVE-2024-55591 ve CVE-2025-24472. Araştırmacılar, teyit edilen fidye yazılımı saldırılarının 27 Ocak’tan sonra bir noktada başladığını söyledi – eski kusur için ve bu ayın başlarında bir kavram kanıtı istismarı yayınlandığında.
Her kusur, Fortios ve Fortiproxy cihazlarının birden fazla sürümünü etkileyen bir kimlik doğrulama baypas güvenlik açığıdır. CVE-2024-55591’den yararlanmak “özel olarak hazırlanmış talepler yapmayı içerir Node.js WebSocket Modülü, “ve CVE-2025-24472’den istismar, bölgeler arası sahtecilik proxy isteklerinin yapılmasını gerektirir.
Güvenlik açıklarından yararlanarak, saldırganlar kazanabilir super_admin Ayrıcalıklar – yönetim arayüzlerini açıklayan cihazlarda – onlara bir cihaza kalıcı erişim ve kimlik bilgilerini çalma yeteneği sağlar.
Sıfır Gün Güvenlik Açığı-CVE-2024-55591-Güvenlik firması Arctic Wolf, Aralık 2024’e kadar izlenen saldırı kampanyalarında kullanıldığını gördüğünde 10 Ocak’ta ortaya çıktı (bakınız: Fortinet kullanıcıları geçmiş ve şimdiki aktif sıfır gün uyarıları görüyor).
14 Ocak’ta Fortinet, CVE-2024-55591 için bir güvenlik danışmanlığı yayınladı ve 10 üzerinden 9.8 CVSS puanı verdi. Sorunları çözmek için, danışmanlık 7.0 ila 7.0.17 veya üstü güncellemeyi önerir. 11 Şubat’ta Fortinet, danışmanlığı 8,1 olan “yüksek” CVSS puanı olan CVE-2025-24472’yi içerecek şekilde güncelledi.
Salı günü, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, fidye yazılımı grupları tarafından aktif olarak hedeflendiğini söyleyerek bilinen sömürülen güvenlik açıkları kataloğuna daha yeni bir kusur ekledi.
Avusturya’nın sertifikası, tüm Fortios ve Fortiproxy cihazlarının, kavram kanıtı ortaya çıktığı 27 Ocak’a kadar yamalanmadıkça, açık bir yönetim arayüzüne sahip “acil adli soruşturma” yapmayı önerir. Bu tarihten sonra, saldırganların cihazı tehlikeye atmış olabileceğini, uzaktan erişim araçlarıyla enfekte olabileceğini ve daha sonra uzlaşmamış görünmesi için cihazı en son, yamalı sürüme güncellediğini söyledi.
Down Under Siber Güvenlik Örgütü, kuruluşlara henüz bunu yapmadılarsa güncellemeyi derhal yüklemelerini ve “bilinmeyen yönetici ve VPN hesaplarının yanı sıra şüpheli otomasyon görevlerini incelemelerini ve silmesini” tavsiye etti.
Superblack Saldırıları
Fortinet cihazlarına yönelik saldırıların bazıları, “Mora_001” adlı forescout’daki araştırmacıların görünüşte bağımsız bir tehdit oyuncusu izliyor gibi görünüyor. Bu saldırılar, uç noktaların SuperBlack adlı kripto dolu kötü amaçlı yazılım tarafından enfekte olmasına yol açtı, çünkü Lockbit 3.0’ın özelleştirilmiş bir sürümü, yani Lockbit Black. Saldırganın ayrıca, kripto kilitleme sistemlerinden önce veri çalmak için Lockbit üyeleri tarafından daha önce kullanılandan ziyade özel bir veri söndürme aracı kullandığını söylediler.
Saldırganın eski bir Lockbit bağlı kuruluşu olup olmadığı açık değil.
Superblack saldırıları için kullanılan özelleştirilmiş fidye notu, daha önce Lockbit tarafından kullanılan mağdurlarla müzakereler için bir Tox sohbet kimliği içerir. Bu, “bu müdahalelerin arkasındaki aktörün, Lockbit’in sızdırılmış inşaatçısını veya Lockbit’in altyapısını ve araçlarını yeniden kullanan bağımsız bir tehdit oyuncusu olan mevcut veya eski bir bağlı kuruluş olduğunu gösteriyor.
Saldırılar, Lockbit markasını canlandırma girişiminin bir parçası olabilir. Siber Güvenlik Danışmanlığı NCC Group Çarşamba raporunda, “Aralık 2024’te iddia edilen bir grup yöneticisi Lockbit 4.0’ın öngörüldüğünü duyurdu.” Dedi.
“Kayıt olun ve Pentester milyarder yolculuğunuzu bizimle 5 dakika içinde başlatın,” o sırada bir Darknet direğinde iddia etti ve potansiyel müşterileri bir hesap oluşturmak için Bitcoin veya Monero’yu harcamasını gerektiren yeni bir Darkweb Lockbit sitesine yönlendirdi. Buna karşılık, yönetici “bir Lamborghini, Ferrari” ve birçok kadın bağlı kuruluşlara vaat ediyor.
Geçen ay vaat edilen bir lansmana rağmen, güvenlik araştırmacıları, uluslararası bir kolluk konsorsiyumunun grubu bozmak için Cronos Operasyonu olarak adlandırılan sürekli bir çaba başlatmasından bir yıldan fazla bir süre sonra Lockbit 4.0 belirtisi görmediğini bildiriyorlar.