Fortinet’in Kasım 2022’de yamalar yayınladığı FortiOS SSL-VPN’deki (CVE-2022-42475) kritik bir güvenlik açığı, saldırganlar tarafından hükümet veya devletle ilgili hedefleri tehlikeye atmak için kullanıldı.
Fortinet, saldırganların gelişmiş yeteneklere sahip olduğunu söylüyor: İstismarın oluşturulmasında onlara yardımcı olmak için FortiOS’un çeşitli bölümlerinde tersine mühendislik yapabildiler ve bu işletim sisteminde çalışmak üzere özel olarak yapılmış Linux tabanlı bir implant kullanabildiler.
Ayrıca, kötü amaçlı yazılımın tespit edilmekten kaçınmak için günlük dosyalarını manipüle edebileceğine de dikkat çektiler. “FortiOS’taki olayların günlükleri olan elog dosyalarını arar. Bunları bellekte açtıktan sonra, saldırganın belirttiği bir diziyi arar, siler ve günlükleri yeniden oluşturur. Kötü amaçlı yazılım, günlüğe kaydetme işlemlerini de öldürebilir, ”diye açıkladı şirket.
Tehlike göstergelerini (IoC’ler) paylaştılar ve bunların nasıl kullanılacağını ayrıntılı olarak açıkladılar ve müşterilerin kendilerini korumak için kullanabilecekleri izinsiz giriş önleme sistemleri (IPS) için bir imza yayınladılar.
Savunmacılar doğru zamanda önemli bilgiler istiyor
Bu son Fortinet açıklaması, Kasım 2022’de bazı FortiOS güncellemelerinin yayınlandığı gerçeğini yeniden gündeme getirdi. işaret yok Vahşi doğada istismar edilen bir güvenlik açığının değişiklik günlüklerinde düzeltilmiş olması. CVE numaralı kusur, değişiklik günlüğüne daha sonra eklendi, ancak yine istismar edildiğine dair hiçbir gösterge yoktu.
Kuruluşların BT ve BT Sec çözümlerine yama uygulamaktan sorumlu olanlardan bazılarının sahip olduğu gibi, işaret ettideğişiklik günlüğündeki bir CVE, güncellemeyi daha sonra değil daha erken planlama kararlarını etkilerdi.
Düzeltmeleri uygulamaya alternatif olarak Fortinet, olası bir geçici çözümü de hemen sunmadı (SSL-VPN işlevini devre dışı bırakarak).
Bu tür yanlış adımlar atan tek şirket onlar olmasa da, gelecekte herkes bunlardan kaçınmalıdır.