Bilgisayar korsanları Fortinet kusurlarını Fortigate cihazlarındaki gizli arka kapılara bindirerek yamalardan sonra bile erişimi sürdürüyor. Şimdi güvenli sürümleri güncellemek için güncelleyin.
Fortinet’teki siber güvenlik araştırmacıları, son zamanlarda müşterileri siber saldırganlar tarafından Fortigate cihazlarına erişimi sürdürmek için kullanılan yeni bir yöntem konusunda uyardı. Saldırganlar, giriş kazanmak için FG-IR-22-398, FG-IR-23-097 ve FG-IR-24-015 gibi bilinen güvenlik açıklarından yararlandı ve daha sonra sistemler yamalandıktan sonra bile devam eden, okunaklı bir erişim için bir arka kapıyı geride bıraktı.
Yöntem, saldırganların birçok cihazın henüz düzeltmediği güvenlik açıklarından yararlanmasıyla başlar. İçeri girdikten sonra, SSL-VPN’de dil dosyalarını sunmak için kullanılan bir klasördeki kullanıcı dosya sistemini kök dosya sistemine bağlayan sembolik bir bağlantı oluşturdular. Bu akıllı değişiklik, standart algılamayı tetiklemeden yapılandırma dosyalarını sessizce okumalarını sağlar. Önemli olarak, cihazınızın hiç SSL-VPN etkinleştirilmemesi durumunda, bu sorun sizi etkilemez.
Tehdit oyuncusunu daha fazla saldırıdan engellemek için Fortinet, aşağıdakiler de dahil olmak üzere yeni güvenlik önlemleri ile birlikte birkaç güncelleme yayınladı:
- Dahili bir soruşturma başlattı ve üçüncü taraf uzmanlarla koordine edildi.
- Sembolik bağlantıyı otomatik olarak tespit etmek ve kaldırmak için bir AV/IPS imzası geliştirdi.
- Sadece arka kapıyı çıkarmakla kalmayıp, aynı zamanda gelecekteki olayları önlemek için SSL-VPN arayüzünü de değiştiren farklı Fortios sürümlerinde (7.6.2, 7.4.7, 7.2.11, 7.2.17 ve 6.4.16 dahil) birden fazla güncelleme yayınladı.
Şirketin güvenlik önlemlerinin tam listesi burada mevcuttur.
Bu neden önemli?
Watchtowr CEO’su Benjamin Harris, Fortinet uygun bir şekilde yanıt verirken, bu olayın endişe verici bir endüstri trendinin altını çizdiğini vurguladı: “Saldırganlar, yama yapmanın zaman aldığını ve eşit güncellemeler ve fabrika sıfırlamaları için arka planlar tasarladıklarını açıkça ve derinden farkında.”
Bu, saldırgan taktiklerindeki bir değişimi vurgular – sadece güvenlik açıklarından yararlanmakla kalmazlar; Aktif olarak kalıcılığı planlıyorlar, bu da bir ihlalden tamamen kurtulmayı zorlaştırıyorlar.
Bununla birlikte, Fortinet hafifletmeler yayınlamış olsa da, Fortigate cihazlarınızı en kısa zamanda önerilen sürümlerden birine (7.6.2, 7.4.7, 7.2.11, 7.0.17 veya 6.4.16) yükseltmek önemlidir.
Bu olay, tehdit aktörleri ve siber güvenlik ekipleri arasındaki devam eden ırkın bir başka kanıtıdır. Fortinet hızlı tepki vermesine rağmen, dünya çapındaki kullanıcılara/müşterilere güncellemelere ayak uydurmaları ve güvenlik önlemlerini düzenli olarak gözden geçirmeleri hatırlatılır.