İnternete Yönelik Cihazlar, Devlet Destekli Bilgisayar Korsanları İçin Bir Hedeftir
Bay Mihir (MihirBagwe) •
20 Ocak 2023
Mandiant, muhtemelen Çin hükümetiyle bağlantılı bir tehdit aktörünün Fortinet sanal özel ağında artık yama uygulanmış bir sıfır gün güvenlik açığından yararlandığını söylüyor.
Ayrıca bakınız: Yeni Nesil Güvenlik Duvarı Satın Alma Rehberi
Siber güvenlik firması bir blog yazısında, açıktan yararlanmanın büyük olasılıkla Çin’in internete bakan güvenlik cihazlarını kullanma modelinin bir parçası olduğunu söylüyor ve güvenlik cihazlarının kullanıcılara dahili işleyişlerinde genellikle sınırlı şeffaflık sağladığını ekliyor.
Güvenlik duvarları veya Fortinet’in FortiOS SSL-VPN’si gibi cihazlar, özellikle uç nokta algılama ve yanıt gibi diğer güvenlik ürünlerinin üzerlerine yüklenmesine izin vermeyebileceklerinden, “kendileri genellikle doğal olarak korunmazlar”. Temel özellikler, cihaz üreticileri tarafından kapatılabilir ve yönetici arabirimleri, sınırlı yapılandırma ve günlük kaydı özellikleri sunabilir.
Bir güvenlik cihazında kötü amaçlı etkinliği tespit etmenin zorluğu, bu cihazları devlet destekli bilgisayar korsanları için çekici kılıyor. Mandiant, devlet destekli tehdit gruplarının, bunu yapmak için gereken yüksek düzeyde kaynak göz önüne alındığında, sıradan siber suçlulardan daha fazla güvenlik cihazı açıkları geliştirmeye kaynak yatırma olasılığının daha yüksek olduğunu söylüyor. Bu, hükümeti ve savunma sektörlerini muhtemel hedef haline getiriyor.
Resmi olarak CVE-2022-42475 olarak tanımlanan Fortinet VPN güvenlik açığından yararlanan kimliği belirsiz tehdit aktörü, bunu şirketin Aralık ayında bir yama yayınlamasından haftalar önce yapmış olabilir.
Kusuru, “FortiGate Güvenlik Duvarlarında çalışmak üzere özel olarak tasarlanmış” bir Linux varyantı da dahil olmak üzere Boldmove olarak adlandırılan bir arka kapı Mandiant sunmak için kullandı.
Boldmove’un bir Windows sürümü 2021’de derlenmiş gibi görünüyor ve Mandiant bu varyantla ilişkili herhangi bir istismar keşfetmedi.
Linux arka kapısının genişletilmiş bir sürümü, günlük hizmetlerini devre dışı bırakarak gösterge engellemeyi etkinleştiren bir komut içeriyordu. Genişletilmiş sürüm ayrıca, bilgisayar korsanlarının “muhtemelen cihaz ayarlarını değiştirmek veya ilgili ağın dahili bölümlerini internete ifşa etmek için” dahili bir Fortinet hizmetine istek göndermesine izin veren bir komut içeriyordu.
Fortinet’in yamalanmış kusuruna ilişkin kendi analizi, bir istismarın tehdit aktörünün FortiOS ve ilgili donanım hakkında “derin bir anlayışa” sahip olmasını gerektireceği sonucuna vardı. Fortinet’in kendisini istismar eden tehdit aktörü hakkındaki bilgisi, gelişmiş yeteneklere ve hükümet veya devletle ilgili hedefleri tercih eden bir gruba işaret ediyor.