Yönetişim ve Risk Yönetimi, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Yama Yönetimi
Aktif Olarak Hedeflenen Sıfır Gün Yaması; Cihaz Yapılandırmaları Sızıntısından Sonra Verilen Uyarı
Mathew J. Schwartz (euroinfosec) •
17 Ocak 2025
Fortinet güvenlik duvarı kullanıcıları, cihazlarına sıfır gün güvenlik açığını hedef alan aktif saldırılara karşı yama yapmaları ve 15.000 cihaza ilişkin yapılandırma verilerinin sızmasının ardından güvenliklerini gözden geçirmeleri konusunda uyarılıyor.
Ayrıca bakınız: Active Directory Masterclass | Bir Saldırgan Gibi Düşünün, Bir Profesyonel Gibi Savun
Sıfır gün güvenlik açığı, FortiOS ve FortiProxy’nin birden fazla sürümünde CVE-2024-55591 olarak izlenen ve bir saldırganın “özel hazırlanmış istekler yoluyla süper yönetici ayrıcalıkları elde etmek için” yararlanabileceği bir kimlik doğrulama atlama hatasıdır. Node.js websocket modülü,” dedi Fortinet Salı günü yaptığı güvenlik uyarısında.
Aynı gün, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, bu güvenlik açığını “aktif istismar kanıtlarına dayanarak” bilinen istismar edilen güvenlik açıkları kataloğuna ekledi. CISA, tüm federal sivil yürütme organı kurumlarının kusuru azaltması veya savunmasız örnekleri kullanmayı bırakması için 21 Ocak’a kadar bir son tarih belirledi.
Kusur, FortiOS 7.0.0 ila 7.0.16 sürümlerinin yanı sıra FortiProxy 7.0.0 ila 7.0.19 ve 7.2.0 ila 7.2.12 sürümlerini de etkiliyor. Satıcı, CVSS ölçeğinde 10 üzerinden 9,6 puan alan bu güvenlik açığını yamalayan güncellemeler yayınladı; bunun nedeni kısmen saldırganların kimlik doğrulaması olmadan bir cihazda isteğe bağlı kod yürütmek için bu güvenlik açığından uzaktan yararlanabilmesidir.
Güvenlik açığı ilk kez 10 Ocak’ta güvenlik firması Arctic Wolf’un “güvenlik duvarlarının yönetim arayüzlerinde yetkisiz yönetici oturum açma, yeni hesap oluşturma, bu hesaplar aracılığıyla SSL VPN kimlik doğrulaması ve diğer çeşitli yapılandırma değişikliklerini içeren bir saldırı kampanyası gördüğünü bildirmesiyle gün yüzüne çıktı” “olası” bir sıfır gün güvenlik açığına atfedilen bu güvenlik açığı, saldırganların Aralık 2024’te kurbanların ağları üzerinden yanal olarak hareket etmek için kullanmaya başladı.
Siber güvenlik firması Rapid7, kuruluşların etkilenen yazılımları derhal güncellemelerini ve yeni idari ve yerel hesapların eklenmesini de içerebilecek şekilde saldırıya uğradıklarına dair işaretler için Fortinet tarafından yayınlanan güvenlik ihlali göstergelerini incelemelerini önerdi.
Rapid7 Perşembe günü yaptığı açıklamada, “Müşteriler ayrıca güvenlik duvarı yönetim arayüzlerinin genel internete açık olmadığından emin olmalı ve yönetim arayüzlerine erişebilecek IP adreslerini sınırlamalıdır.” dedi.
Sıfır Gün Serpintisi
Ayrıca Fortinet müşterileri, saldırganların yakın zamanda 15.000’den fazla cihazın konfigürasyon verilerini ve şifrelerini BreachForums hack sitesine sızdırmasının ardından, geçmişi 2022’ye kadar uzanan bir sıfır gün güvenlik açığı olan CVE-2022-40684 ile ilgili serpinti belirtileri açısından altyapılarını incelemeleri konusunda uyarılıyor. .
Veriler, yeni kaydolan BreachForums kullanıcısı “Belsen Group” tarafından sızdırıldı.
Güvenlik araştırmacısı Amram Englander, kuruluşların risk durumlarını değerlendirmelerine ve gerekli düzeltme adımlarını atmalarına yardımcı olmak için sızdırılan 15.474 IP adresinin tamamının bir listesini yayınladı. Araştırmacılar, listedeki herhangi bir kuruluşun bunu aktif bir olay olarak ele almasını, CVE-2022-40684’e kamuya açıklanmadan önce yama yapıp yapmadıklarını gözden geçirmesini (veya yapmamasını) ve kimlik bilgilerini rotasyona tabi tutmayı ve uzlaşma işaretleri için altyapılarını incelemeyi düşünmesini tavsiye ediyor.
Siber tehdit istihbarat firması KELA, “Döküm ülkeye göre düzenleniyor ve her klasörde IP adresleri ve yapılandırma verileri yer alıyor” dedi. “Bazı dosyalar kullanıcı adlarını, şifreleri, cihaz yönetimi dijital sertifikalarını ve güvenlik duvarı kurallarını içerir” ve şifreler dahil tüm bilgiler düz metin olarak listelenir.
İngiliz güvenlik araştırmacısı Kevin Beaumont Perşembe günkü bir blog yazısında, “İçindeki cihazlar Shodan’da listelendiğinden ve aynı benzersiz seri numaralarını paylaştığından, bu dökümün gerçek olduğunu doğrulayabildim” dedi.
Heise Güvenlik araştırmacısı Christopher Kunz, açığa çıkan VPN şifrelerinden birini kurban bir kuruluşla doğruladığını da söyledi. “Kesinlikle yasallar” dedi.
Rapid7, verileri sızdırılan herhangi bir kuruluşun “yönetici ve yerel kullanıcı şifrelerini derhal değiştirmesi gerektiğini” söyledi. “FortiOS ayrıca yerel kullanıcı hesapları için çok faktörlü kimlik doğrulamayı da destekliyor ve Rapid7’nin uygulanmasını şiddetle tavsiye ediyor.”
Satıcı Perşembe günü yaptığı açıklamada, “Fortinet, FortiGate cihazlarından güvenliği ihlal edilmiş yapılandırma ve VPN kimlik bilgileri sunduğunu iddia eden bir tehdit aktörünün gönderisinden haberdardır” dedi.
Fortinet, çalınan verilerin 2022 sonlarında CVE-2022-40684’ü hedef alarak FortiOS donanım yazılımının 7.0.0 ila 7.0.6 ve 7.2.0 ila 7.2.1 sürümlerinden yararlanan bir saldırgan tarafından toplandığını ve bu verilerin çalındığını söyledi. yapılandırma bilgileri ve VPN şifreleri.
Fortinet, güvenlik açığını kamuya açıklamadan önce, Ekim 2022’de etkilenen tüm FortiOS, FortiProxy ve FortiSwitchManager ürünlerinin sahiplerine ilk olarak gizli risk azaltma tavsiyesi yayınladı. Fortinet, bunun ardından tehdit aktörlerinin derhal interneti cihazlar için taramaya başladığını, yapılandırma bilgilerini indirmek için güvenlik açığından yararlandığını ve ayrıca kötü amaçlı yönetici hesapları kurduğunu söyledi.
“Fortinet, hedeflenen cihazlardan yapılandırma dosyasını indirmek ve kötü amaçlı bir yazılım eklemek için bu güvenlik açığından yararlanılan örneklerin farkındadır. super_admin hesap çağrıldı fortigate-tech-support,” diye uyardı satıcı o sırada.
Fortinet Perşembe günü yaptığı açıklamada, “Analizimize göre, ilgili veriler Kasım 2022’den önceki tarihlere ait önceki olaylara ait verilerin yeniden paylaşılmasıdır ve yakın zamanda gerçekleşen herhangi bir olay veya tavsiye niteliğindeki olayla ilgili değildir.” dedi.
Belsen Grubu hakkında çok az şey biliniyor. Grubun adı, İkinci Dünya Savaşı sırasında 52.000’den fazla kişinin öldürüldüğü Bergen-Belsen Nazi toplama kampına bir gönderme olabilir. Kamp ilk olarak Sovyet savaş esirlerini barındırıyordu ve daha sonra kısmen Yahudi mahkumlar için yurtdışında hapsedilen Alman savaş esirleriyle takas edilmek üzere bir “değişim kampı” olarak işlev gördü.
Bu, bilgisayar korsanlarının Fortinet kullanan kuruluşların şifrelerini sızdırdığı ilk sefer değil. Kasım 2020’de bir araştırmacı, saldırganların CVE-2018-13379’a karşı savunmasız sistemlerden yararlanarak elde ettikleri yaklaşık 500.000 Fortinet VPN şifresini sızdırdığı konusunda uyardı (bkz.: CISA, Savunmasız Fortinet VPN’lerinde Şifre Sızıntısı Konusunda Uyardı).
Eski Veri, Güncel Risk
Yapılandırma verilerinin en son sızıntısı eski olsa da, güvenlik araştırmacıları bunun oluşturduğu riskin güncel olduğu konusunda uyardı.
Beaumont, “Cihazların çoğu hala çevrimiçi ve erişilebilir durumda”, ayrıca iki yıl öncekiyle aynı yapılandırmalara ve güvenlik duvarı kurallarına sahipler, dedi. IP adreslerini kullanarak, risk altındaki müşteri tabanı arasında Fortinet kullanan hükümetlerin, büyük şirketlerin yanı sıra şirket tarafından kiralanan hatları veya diğer telekomünikasyon hizmetlerini kullanan küçük ve orta ölçekli kuruluşları belirledi.
Beaumont, sosyal ağ Mastodon’da paylaştığı bir gönderide, “En son birisi bunu yaptığında, operatörlerin ilgisini çekmek için bir fidye yazılımı grubuydu” dedi.
Sızan veri setinde kayda değer eksiklikler bulunabilir; bu da bunun Rusya’da yaşayan veya Moskova’nın jeopolitik çıkarlarına dost birinin işi olduğunu akla getiriyor.
Beaumont, Shodan’ın SSL VPN’si veya yönetim arayüzü açıkta olması nedeniyle ülkede 2.000 cihaz saymasına rağmen IP adreslerinin hiçbirinin İran’a kadar takip etmediğini, WHOIS verilerinin önerdiği gibi yalnızca bir Rus IP adresinin göründüğünü buldu. Kırım, 2014’ten bu yana Rusya’nın işgal ettiği Ukrayna toprağı.