Fortinet, FortiOS güvenlik duvarlarını ve FortiProxy web ağ geçitlerini etkileyen ve saldırganlar tarafından kamuya açık FortiGate güvenlik duvarlarını tehlikeye atmak için kullanılan bir kimlik doğrulama atlama güvenlik açığını (CVE-2024-55591) yamaladı.
Fortinet, beraberindeki güvenlik tavsiyesinde yaygın istismarı kabul etse de, güvenlik ihlali göstergeleri (IoC’ler) dışında saldırıyla ilgili her türlü bilgiyi paylaştı: IP adresleri, günlük girişleri, oluşturulan kullanıcılar ve tehdit aktörü tarafından gerçekleştirilen operasyonların listesi .
Bu IoC’lerden bazıları, Arctic Wolf araştırmacıları tarafından geçen Cuma günü paylaşılanlarla örtüşüyor; Kasım ayı ortasında başlayan ve “güvenlik duvarlarının yönetim arayüzlerinde yetkisiz yönetici girişleri, yeni hesaplar oluşturulması, bu hesaplar üzerinden SSL VPN kimlik doğrulaması içeren” bir saldırı kampanyasını ayrıntılarıyla anlattılar. ve diğer çeşitli yapılandırma değişiklikleri.”
Teorileri, saldırganların bu saldırılar için sıfır gün güvenlik açığından yararlandıkları yönündeydi ve görünüşe göre haklıydılar.
CVE-2024-55591 Hakkında
CVE-2024-55591, uzaktaki saldırganların Node.js websocket modülüne yönelik hazırlanmış istekler aracılığıyla süper yönetici ayrıcalıkları kazanmasına ve böylece yetkisiz kod veya komutlar yürütmesine olanak tanıyan bir kimlik doğrulama atlama (alternatif yol veya kanal aracılığıyla) güvenlik açığıdır.
Kritik güvenlik açığı, FortiOS’un 7.0.0 ila 7.0.16 arasındaki sürümlerini, FortiProxy’nin 7.0.0 ila 7.0.19 ve 7.2.0 ila 7.2.12 arasındaki sürümlerini etkiliyor. Herhangi bir kullanıcı etkileşimi olmadan kullanılabilir.
Kurumsal yöneticilere, FortiOS 7.0.17 veya üzeri, FortiProxy 7.2.13 veya üzeri veya 7.0.20 veya üzeri gibi sabit bir sürüme yükseltmeleri ve bilinen güvenlik ihlali göstergelerini kontrol etmeleri tavsiye edildi. Uygulamanın güncellenmesi hemen mümkün değilse geçici çözümler mevcuttur (örneğin, kuruluşlar güvenlik duvarının web tabanlı yönetim arayüzünü genel internetten kaldırabilir).
Saldırı kampanyası
Arctic Wolf araştırmacıları, “Bu kampanya erken tespit edildi çünkü beklenmeyen güvenlik duvarı yapılandırma değişiklikleri için harici izleme mevcuttu” dedi.
Kampanya dört ayrı aşamadan oluştu:
- Otomatik güvenlik açığı taraması (+ sıfır gün kullanımı + çok sayıda başarılı yönetici oturum açma olayı) – 16 Kasım 2024’ten 23 Kasım 2024’e kadar
- Keşif (+ amacı hala bilinmeyen konfigürasyon değişiklikleri) – 22 Kasım 2024’ten 27 Kasım 2024’e kadar
- Yeni süper yönetici ve yerel kullanıcı hesaplarının oluşturulması veya mevcut hesapların ele geçirilmesi + bu hesapların SSL VPN erişimi için mevcut gruplara eklenmesi + yeni SSL VPN portalları oluşturulması + etkilenen cihazlarla SSL VPN tünelleri kurulması – 4 Aralık 2024’ten 7 Aralık 2024’e kadar
- Yanal hareket için kimlik bilgilerinin çıkarılması – 16 Aralık 2024’ten 27 Aralık 2024’e kadar.
Arctic Wolf araştırmacıları, “Görünürlüğümüzün muhtemelen kampanyadaki genel faaliyetin dar bir alt kümesiyle sınırlı olduğu göz önüne alındığında, bu aşamalara ilişkin tasvirimiz eksik veya aşırı basitleştirilmiş olabilir” dedi.
Ayrıca, “tehdit aktörleri daha fazla ilerlemeden etkilenen ortamlardan uzaklaştırıldığı” için son aşamadan sonra ne olacağı şu anda bilinmiyor.
Ne yapalım?
FortiOS’un sıfır gün ve n gün güvenlik açıkları, devlet destekli bilgisayar korsanlarının kurumsal ağlara girmeyi tercih ettiği yoldur.
Ancak bu kampanya, büyüklük veya ekonomik sektöre göre belirli bir kuruluşu hedef almıyor gibi görünüyor; ancak internete dönük web tabanlı yönetim arayüzlerine sahip FortiGate cihazlarına sahip olanları fırsatçı bir şekilde hedef alıyor gibi görünüyor.
“Yönetim arayüzleri, ürün özellikleri ne olursa olsun, halka açık internette sergilenmemelidir. Tehdit analistleri, bunun yerine yönetim arayüzlerine erişimin güvenilir dahili kullanıcılarla sınırlı olması gerektiğine dikkat çekti.
Ayrıca kuruluşlara, yaygın olarak sahte IP adreslerinden gelen jsconsole etkinliğini ve WAN arayüzünde VPS barındırma IP adreslerinden kaynaklanan 1 MB’ın üzerindeki web yönetimi trafiğini izlemelerini tavsiye ettiler.
“Kötü amaçlı SSL VPN oturum açma işlemlerinin VPS barındırma sağlayıcılarından gelen istemci IP adresleriyle gerçekleştiği bilindiği göz önüne alındığında, bu tür sağlayıcılardan gelen beklenmedik oturum açma işlemlerinin izlenmesi de potansiyel olarak araştırmaya değer olacaktır” diye eklediler.
Gözlemlenen saldırıları 12 Aralık 2024’te Fortinet’e bildirdiklerini ve FortiGuard Labs PSIRT’nin 17 Aralık 2024’te yanıt vererek “faaliyetin bilindiğini ve araştırıldığını” söylediğini söylüyorlar.