Cyble’ın Küresel Sensör İstihbaratı (GIS), rutin izleme gerçekleştirirken, bir tehdit aktörünün bir Rus siber suç forumunda birkaç Fortinet VPN’e yetkisiz erişim dağıttığını keşfetti.
Araştırmacılar erişimi değerlendirdiklerinde, saldırganın yönetici kullanıcının hesabına yeni bir genel anahtar eklemeye çalıştığını fark ettiler. Daha fazla araştırma, hedeflenen kuruluşların eski FortiOS yazılımını kullandığını ortaya çıkardı.
Bu, saldırganın şu şekilde izlenen bir kanaldan veya alternatif yol kusurundan yararlanarak kimlik doğrulama atlamasını yönettiğini gösteriyordu: CVE-2022-40684 FortiOS’ta. Bu kimlik doğrulama atlama kusuru, yetkisiz/kimliği doğrulanmamış bir saldırganın yönetim arabirimini kullanmasına olanak tanır.
Etkilenen Ürünler ve Ürün Yazılımı Sürümleri
Cyble’ın 24 Kasım 2022’de yayınlanan araştırmasına göre birden fazla Fortinet FortiOS, FortiProxy ve FortiSwitchManager dahil olmak üzere sürümler bu kusurdan etkilenir. Güvenlik açığı, bir saldırganın Cyble’ın özel olarak oluşturulmuş HTTPS veya HTTP istekleri aracılığıyla “yönetim arabiriminde” işlemler gerçekleştirmesine olanak tanır. danışma okuman.
Hackread.com tarafından görüldüğü üzere, aynı Rus hacker forumundaki başka bir tehdit aktörü şu anda aynı Fortinet VPN istismarını sunuyor. Tehdit aktörü, bugün erken saatlerde yayınlanan bir listede, Censys’in 400.000’den fazla açığa çıkmış cihaz olduğunu gösteren araştırmasına atıfta bulundu.
Cyble’ın araştırmacılarına göre, aşağıdakiler FortinetOS’un etkilenen sürümleridir.
- FortiProxy sürüm 7.2.0
- FortiSwitchManager sürüm 7.2.0
- FortiSwitchManager sürüm 7.0.0
- FortiOS sürüm 7.0.0 ila 7.0.6
- FortiOS sürüm 7.2.0 – 7.2.1
- FortiProxy sürüm 7.0.0 ila 7.0.6
Güvenlik Açığı Ayrıntıları
Araştırma, Fortinet yazılımının 17 Ekim 2022’den beri hedef alındığını ortaya çıkardı. Saldırgan, Fortinet ürünlerinin etkilenen sürümlerini hedeflemek için bir işlevin kontrol mekanizmasından yararlanır.
İşlev, etkilenen cihazların REST API adı verilen başka bir işleve erişimini değerlendirir. Saldırgan, SSH’ye erişmek ve etkilenen sistemi yönetici olarak istila etmek için kusurdan yararlanırken yönetici hesabına bir SSH anahtarı ekler.
Tehdit aktörü, sistemi daha fazla tehlikeye atmak için yönetici kullanıcının SSH anahtarını değiştirir ve virüslü sistemde oturum açar. Ardından yeni yerel kullanıcılar ekler ve trafiği yeniden yönlendirmek için ağ yapılandırmalarını güncellerler. Daha sonra, saldırgan sistem yapılandırmasını indirir ve hassas sistem bilgilerini yakalamak için paket yakalama işlemini başlatır.
Karanlık Web Bağlantısı
Araştırmacılara göre, saldırganların radarı altında olan ve açıklara karşı savunmasız olan, internete açık yüz binden fazla FortiGate güvenlik duvarı var. Açığa çıkan ürünlerin sayısı göz önüne alındığında, güvenlik açığı kritik olarak kategorize edildi.
Araştırmacılar, hassas sistem verilerinin, yapılandırma bilgilerinin ve ağ ayrıntılarının paylaşılabileceğinden şüpheleniyor. karanlık ağ. Bunun nedeni, saldırganın bir sistemdeki hedeflenen hesaba geçerli bir genel SSH anahtarı ekleyebilmesi veya güncelleyebilmesi ve bu sisteme tam erişim elde edebilmesidir.
Ayrıca saldırgan, bu açıktan yararlanarak bilgi elde ettikten sonra kuruluşun kalan BT ekosistemine yönelik ek saldırılar başlatabilir. İlk erişimi şuraya dağıtıyorlar: Karanlık Ağson zamanlarda birçok yüksek profilli saldırıda kullanılmıştır.
- Rusya Hackerları BRc4 Red Team Sızma Aracını Kötüye Kullanıyor
- 34 Rus Hacking Grubu 50 Milyon Kullanıcı Şifresini Çaldı
- Bilgisayar korsanları, savunmasız Fortinet SSL VPN’lerinin oturum açma kimlik bilgilerini sızdırıyor
- Rus Forumlarında ABD Üniversitelerinin VPN Kimlik Bilgilerini Satan Bilgisayar Korsanları
- 21 milyon SuperVPN ve GeckoVPN kullanıcılarının verileri Telegram’a sızdırıldı