Fortinet, tehdit aktörlerinin, cihazları ihlal etmek için kullanılan ilk erişim vektörü yamalandıktan sonra bile savunmasız Fortigate cihazlarına salt okunur erişimi sürdürmenin bir yolunu bulduğunu ortaya koydu.
Saldırganların, CVE-2022-42475, CVE-2023-27997 ve CVE-2024-21762 dahil, ancak bunlarla sınırlı olmamak üzere bilinen ve şimdi paketlenmiş güvenlik kusurlarından yararlandıklarına inanılıyor.
Ağ güvenlik şirketi Perşembe günü yayınlanan bir danışmada, “Bir tehdit oyuncusu, savunmasız fortigate cihazlarına salt okunur erişim uygulamak için bilinen bir güvenlik açığı kullandı.” Dedi. “Bu, SSL-VPN için dil dosyalarını sunmak için kullanılan bir klasörde kullanıcı dosya sistemini ve kök dosya sistemini bağlayan sembolik bir bağlantı oluşturarak elde edildi.”
Fortinet, değişikliklerin kullanıcı dosya sisteminde gerçekleştiğini ve algılamadan kaçınmayı başardığını ve Sembolik Bağlantı’nın (diğer adıyla SymLink) ilk erişimden sorumlu güvenlik delikleri takıldıktan sonra bile geride kalmasına neden olduğunu söyledi.
Bu da, tehdit aktörlerinin, yapılandırmalar da dahil olmak üzere cihazın dosya sistemindeki dosyalara salt okunur erişimi sağlamasını sağladı. Ancak, SSL-VPN’yi hiç etkinleştirmemiş müşteriler bu konudan etkilenmez.
Etkinliğin arkasında kimin olduğu açık değil, ancak Fortinet soruşturmasının belirli bir bölgeye veya sektöre yönelik olmadığını gösterdiğini söyledi. Ayrıca, sorundan etkilenen müşterileri doğrudan bilgilendirdiğini söyledi.
Bu tür sorunların tekrar olmasını önlemek için daha fazla hafifletme olarak, Fortios’a bir dizi yazılım güncellemesi sunuldu –
- Fortios 7.4, 7.2, 7.0, 6.4 – Symlink, antivirüs motoru tarafından otomatik olarak kaldırılacak şekilde kötü niyetli olarak işaretlendi.
- Fortios 7.6.2, 7.4.7, 7.2.11 ve 7.0.17, 6.4.16 – SymLink kaldırıldı ve SSL -VPN UI bu tür kötü niyetli sembolik bağlantıların sunulmasını önlemek için değiştirildi
Müşterilere örneklerini 7.6.2, 7.4.7, 7.2.11 ve 7.0.17 veya 6.4.16 sürümlerine güncellemeleri, cihaz yapılandırmalarını gözden geçirmeleri ve tüm konfigürasyonları potansiyel olarak tehlikeye atılmış olarak ele almaları ve uygun kurtarma adımlarını gerçekleştirmeleri önerilir.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kullanıcıları maruz kalan kimlik bilgilerini sıfırlamaya ve yamalar uygulanana kadar SSL-VPN işlevselliğini devre dışı bırakmayı düşünerek kendi danışmanlığı yayınladı. Fransa Bilgisayar Acil Müdahale Ekibi (CERT-FR), benzer bir bültende, 2023’ün başlarına kadar uzanan tavizlerin farkında olduğunu söyledi.
Hacker News ile paylaşılan bir açıklamada, WatchTowr CEO’su Benjamin Harris, olayın iki önemli nedenden dolayı bir endişe olduğunu söyledi.
Harris, “Birincisi, vahşi sömürüde kuruluşların yama yapabileceğinden önemli ölçüde daha hızlı hale geliyor.” Dedi. “Daha da önemlisi, saldırganlar bu gerçeğin açıkça ve derinden farkındalar.”
Diyerek şöyle devam etti: “İkinci ve daha korkutucu, saldırganlar, yama, yükseltme ve fabrika sıfırlama süreçlerinden kurtulmak için tasarlanmış hızlı sömürüden sonra, örgütlerin, uzlaşmayı ve uzlaşmış kuruluşlara erişimini korumak için bu durumları azaltmaya güvenmeye başladıktan sonra yetenekleri ve arka planları kullandığını gördük.”