Fortinet, CVE-2022-40684 olarak izlenen söz konusu güvenlik açığını ilk olarak 10 Ekim 2022’de açıkladı. Bu güvenlik açığı, başarılı bir şekilde kullanılması durumunda kimliği doğrulanmamış bir aktörün özel olarak göndererek yönetici arayüzünde işlemler gerçekleştirmesine olanak tanıyan FortiOS, FortiProxy ve FortiSwitchManager’ı etkiliyor. hazırlanmış HTTP veya HTTPS istekleri.
Fortinet, ifşa sırasında güvenlik açığının kötüye kullanıldığının farkında olduğunu söyledi. Bununla birlikte, eSentire’ye göre, yalnızca üç gün sonra işlevsel bir konsept kanıtı (PoC) istismarı dolaşıma girdi ve ardından bir “yığın” tehdit aktörü, savunmasız cihazlar için interneti taramaya başladı.
TRU ekibi, müşterilerine yönelik iki saldırı tespit ettiğini ve durdurduğunu söyledi – biri Kanada’daki bir ileri eğitim kurumu ve diğeri ABD’deki bir iş hizmetleri sağlayıcısı. Her ikisi de açıklanmayan bir fidye yazılımı operatörü tarafından saldırıya uğradı ve her iki durumda da soruşturma, üçüncü taraf yönetilen hizmet sağlayıcılar (MSP’ler) tarafından yönetilen ve izlenen savunmasız Fortinet güvenli soket katmanlı sanal özel ağ (SSL VPN) cihazlarına ulaştı.
Tehdit aktörü, hedef ortamlarda kendilerine bir yer edindikten sonra, yanal hareket elde etmek için Microsoft’un Uzak Masaüstü Protokolünü (RDP) ve meşru şifreleme yardımcı programları BestCrypt ve BitLocker’ı kötüye kullandı. Genel işleyiş şekli ve fidye notu, KalajaTomorr olarak bilinen nispeten yeni bir grubun göstergesiydi.
eSentire TRU’nun araştırma ve raporlama lideri Keegan Keplinger, Computer Weekly’ye fidye yazılımını yaymak için güvenli olmayan bir VPN kullanımının kendi başına kimseyi şaşırtmaması gerektiğini söyledi.
Keplinger, “SSL VPN’lerin yanlış yapılandırılması kolaydır ve internete maruz kalmaları gerektiğinden ve kuruluşun kimlik bilgilerine erişim sağladıklarından istismar için yüksek oranda hedeflenirler” dedi.
“Ayrıca, bu cihazların üçüncü bir tarafça yönetilme eğilimi, genellikle kuruluşun ve güvenlik sağlayıcılarının, cihazda yürütülen faaliyetlere ilişkin doğrudan bir görünürlüğe sahip olmadığı anlamına gelir. Bu, bu cihazların karanlık ağda satışında gözlemlendiği gibi, tehdit aktörlerinin daha uzun süre kalmalarına olanak tanır. [making] SSL VPN’ler, ilk erişim aracıları için birincil hedeftir [IABs],” ekledi.
Bu noktaya kadar Keplinger, TRU’nun ayrıca, ilk ifşadan sonraki haftalarda birden fazla tarafın güvenliği ihlal edilmiş Fortinet cihazlarına erişim alıp sattığını gözlemlediğini açıkladı. Bu satışlar, bireysel hedeflerden birden fazla potansiyel kurbanın toplu satışına kadar uzanıyordu – bir durumda, bir IAB’nin aylık abonelik temelinde toplu erişim sattığı ve 5.000 ila 7.000 ABD Doları arasında bir fiyat istediği gözlemlendi.
Keplinger, TRU’nun araştırmasının, iyi kullanılmış ürünlerdeki güvenlik açıklarından yararlanma söz konusu olduğunda siber suçluların her zaman hazır olduğunu gösterdiğini söyledi. Ağ güvenliği çözümlerinin popüler bir tedarikçisi olan Fortinet’in, teknolojisinin bu şekilde istismar edilmesi konusunda özellikle risk altında olduğu düşünülebilir.
“Bu durumda özel bir kör nokta, üçüncü şahıslar tarafından yönetilen güncelliğini yitirmiş Fortinet cihazlarıydı. Bu, kuruluş ve güvenlik sağlayıcıları için bir görünürlük açığı yaratıyor – gözlemlediğimiz bazı durumlarda bu, Fortinet cihazlarının fidye yazılımı aktörleri tarafından kullanılmasına yol açtı. Bir Fortinet cihazında bir uç nokta aracısı bulamazsınız, ancak güvenlik günlüğü işlevine sahipler, bu da ilk erişim aracılarının üzerinde oturduğu cihazları izlememize ve müdahale etmemize olanak sağlayan şeydi,” dedi Keplinger.
“İzinsiz giriş eylemlerini tespit etmek için, bu erişim satıldıktan sonra, uç nokta izleme genellikle işe yarar ve uç nokta izleme çözümünüz uç noktaları karantinaya alabiliyorsa, saldırıları onlar fidye yazılımı dağıtılmadan önce durdurabilirsiniz” diye ekledi.
Computer Weekly, daha fazla bilgi için Fortinet’e ulaştı, ancak kuruluş yayınlandığı tarihte yanıt vermemişti.
Aynı zamanda, savunucular, Noel’den hemen önce Fransa merkezli Olympe Cyberdefense tarafından açıklanan FortiOS SSL VPN’deki farklı bir güvenlik açığından yararlanma olasılığına karşı uyanık olmalıdır. CVE-2022-42475 olarak izlenen yığın tabanlı arabellek taşması, kimliği doğrulanmamış uzaktan saldırganların rastgele kod yürütmesine olanak sağlayabilir.