Bilinmeyen bir tehdit aktörü, çeşitli sektörlerdeki Fortinet cihazlarını toplu halde ele geçirdi ve bundan sonra ne yapmayı planladıklarına dair hiçbir belirti bırakmadı.
Kampanya, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen İstismara Uğrayan Güvenlik Açığı (KEV) kataloğuna yeni eklediği kritik bir güvenlik açığı olan CVE-2024-47575 tarafından etkinleştirildi. Etkiler Fortinet’in FortiManager aracıKuruluşların tüm Fortinet markalı güvenlik duvarlarını, erişim noktalarını, uygulama dağıtım denetleyicilerini (ADC’ler) ve e-posta ağ geçitlerini yönetebilecekleri tek, merkezi konsol. Tek bir FortiManager arayüzünden 100.000’e kadar cihazın yönetilebilmesi, onu BT yönetimi için etkili bir araç ve siber saldırılar için muhteşem bir başlangıç noktası haline getiriyor.
Mandiant’a göre, UNC5820’nin şu anda takip ettiği bir tehdit aktörü, uzlaşma sağlamak için CVE-2024-47575’i kullandı 50’den fazla FortiManager örneği. Bunu yapmak, FortiManager örneklerine bağlı çeşitli cihazlar hakkındaki bilgileri çekip çıkarmalarına olanak tanıdı ve bu, sonraki saldırılarda yararlı olabilir. Ancak şu ana kadar herhangi bir kötü niyetli takip faaliyeti gözlemlenmedi.
FortiManager’da Kritik Bir Güvenlik Açığı
CVE-2024-47575, FortiManager ile yönettiği çeşitli Fortinet cihazları arasındaki iletişimi kolaylaştıran “kritik bir işlev” olan fgfmd arka plan programındaki eksik kimlik doğrulamasından kaynaklanıyor. Uzaktaki, kimliği doğrulanmamış bir saldırgan, özel hazırlanmış istekleri kullanarak bu eksik kimlik doğrulamadan yararlanarak şunları yapabilir: isteğe bağlı kod veya komutları yürütmek hedeflenen bir cihazda. Savunmasız arka plan programının merkeziliği, böyle bir saldırının ciddi etkisiyle birleştiğinde, Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) göre CVE-2024-47575’e 10 üzerinden “kritik” bir 9,8 puan kazandırdı.
Tanımlanamayan tehdit aktörü UNC5820, CVE-2024-47575 ile neler yapılabileceğini zaten yarıya kadar gösterdi. 27 Haziran’dan itibaren UNC5820, Japonya’daki bir IP adresinden birden fazla Fortinet cihazına bağlandı. Hızla bir dizi önemli dosya bir arşiv dosyasına sıkıştırıldı. Bunlar arasında hedeflenen FortiManager’ın yapısı, sürümü ve dal verileri, yönettiği FortiGate cihazlarının yapılandırma dosyaları, hashlenmiş şifreler ve daha fazlası yer alıyordu.
Araştırmacılar Eylül ayında, saldırganın kendi yetkisiz Fortinet cihazını hedeflenen FortiManager konsoluna kaydetmeyi başardığı başka bir istismar girişimini tespit etti.
Teorik olarak, tüm bu veriler hedefin çevresini tanımak, yanal hareketi sağlamak ve ortalama bir takip saldırısı için zemin hazırlamak için faydalı olabilirdi. Ancak Mandiant bugüne kadar bu tür saldırılara dair bir kanıt gözlemlemedi.
Şimdi Ne Yapmalı
İlk etapta CVE-2024-47575’ten yararlanmak için UNC5820, bir kuruluşun FortiManager cihazına ulaşmak için bazı yöntemlere ihtiyaç duyacaktı. Bu nedenle, yalnızca İnternet’e maruz kalanların hedef alınması muhtemeldir.
Mandiant, yönetim konsollarının açıkta olduğu kuruluşlar için acil ve kapsamlı adli tıp araştırmalarının yapılmasını önerir. Fortinet’in FortiGuard Labs’ı da şunu yayınladı: iyileştirme için daha fazla öneri En son yazılıma yükseltmenin mümkün olmadığı durumlar için geçici çözümler de dahil olmak üzere bloguna.
Dark Reading’in yorum talebine yanıt olarak Fortinet şu açıklamayı yaptı:
“Bu güvenlik açığının (CVE-2024-47575) belirlenmesinin ardından Fortinet, kritik bilgileri ve kaynakları anında müşterilere iletti. Bu, bir tavsiye niteliğindeki bilginin kamuya açıklanması öncesinde müşterilerin güvenlik duruşlarını güçlendirmelerine olanak tanıyan sorumlu açıklama süreçlerimiz ve en iyi uygulamalarımızla uyumludur. Tehdit aktörleri de dahil olmak üzere daha geniş bir kitleye sunuldu. Ayrıca, geçici çözüm ve yama güncellemeleri de dahil olmak üzere, hafifletme kılavuzunu yineleyen ilgili bir kamu danışma belgesi (FG-IR-24-423) yayınladık. Devam eden yanıtımızın bir parçası olarak uygun uluslararası devlet kurumları ve sektörel tehdit kuruluşlarıyla koordinasyon sağlamaya devam ediyoruz.”