FortiOS SSL-VPN Sıfır Gün Hatası Devlete Saldırmak İçin Kullanıldı

   Ocak 14, 2023  Posted in GBHackers


FortiOS SSL-VPN Sıfır Gün

Geçen ay Fortinet tarafından yamalanan ve bilinmeyen saldırganlar tarafından istismar edilen FortiOS SSL-VPN sıfır gün güvenlik açıkları kullanılarak hükümet kuruluşlarına ve hükümetle ilgili hedeflere yönelik bir dizi saldırı gerçekleşti.

Bu olaylarda, saldırganların uzaktan kod yürütme ve hedeflenen cihazları uzaktan çökertme yetkisi elde etmesi için bir güvenlik açığından (CVE-2022-42475) yararlanıldı.

Bu güvenlik açığı, FortiOS SSLVPNd uygulamasında bulunan yığın tabanlı arabellek taşmasına bağlanabilir.

Ağ güvenlik şirketi, güvenlik açığını gideren yazılımın yeni bir sürümünü (7.2.3) yayınlayarak 28 Kasım’da hatayı sessizce düzeltti.

DÖRT

Aralık ortasında şirket, güvenlik açığından ses çıkarmadan yararlanan devam eden saldırılara karşı korunmak için müşterilerini bu yamayı indirip yüklemeye çağırdı.

Ağ güvenlik şirketi, müşterilerini güvenlik açığı hakkında ilk olarak 7 Aralık’ta bir TLP: Amber danışma belgesi aracılığıyla bilgilendirdi; bu, kısıtlı dağıtım için gizli bir bildirimdi.

Daha sonra, güvenlik açığı hakkında ek bilgileri 12 Aralık’ta kamuoyuna açıkladılar ve güvenlik açığının aktif olarak kullanıldığına ve devam eden saldırılarda saldırganlar tarafından hedef alındığına dair bir uyarı verdiler.

Güvenlik Açığı Etkilenen Ürünler

Aşağıda, etkilenen ürünlerin tam listesinden bahsetmiştik:-

  • FortiOS sürüm 7.2.0 ila 7.2.2
  • FortiOS sürüm 7.0.0 ila 7.0.8
  • FortiOS sürüm 6.4.0 – 6.4.10
  • FortiOS sürüm 6.2.0 – 6.2.11
  • FortiOS sürüm 6.0.0 – 6.0.15
  • FortiOS sürüm 5.6.0 ila 5.6.14
  • FortiOS sürüm 5.4.0 ila 5.4.13
  • FortiOS sürüm 5.2.0 – 5.2.15
  • FortiOS sürüm 5.0.0 ila 5.0.14
  • FortiOS-6K7K sürüm 7.0.0 ila 7.0.7
  • FortiOS-6K7K sürüm 6.4.0 ila 6.4.9
  • FortiOS-6K7K sürüm 6.2.0 ila 6.2.11
  • FortiOS-6K7K sürüm 6.0.0 ila 6.0.14
  • FortiProxy sürüm 7.2.0 – 7.2.1
  • FortiProxy sürüm 7.0.0 ila 7.0.7
  • FortiProxy sürüm 2.0.0 – 2.0.11
  • FortiProxy sürüm 1.2.0 ila 1.2.13
  • FortiProxy sürüm 1.1.0 ila 1.1.6
  • FortiProxy sürüm 1.0.0 ila 1.0.7

Hükümet Ağlarını Hedeflemek için Sıfır Günü Suistimal Edildi

Tehdit aktörünün saldırılarının yüksek oranda hedefli olduğu tespit edildi ve soruşturma, öncelikli ağların hükümete ait olduğunu gösterdi.

İncelendikten sonra, saldırganla bağlantılı Windows örneği, UTC+8 saat dilimindeki bir bilgisayarda oluşturulduğuna dair işaretler sergiledi. Bu saat dilimi, aşağıdakiler gibi çeşitli ülkeleri kapsar: –

  • Avustralya
  • Çin
  • Rusya
  • Singapur
  • Diğer Doğu Asya ülkeleri

Saldırganın bu bölgelerden birinde olabileceğini öne sürüyorlar. Ancak, bu bilgilerin saldırganın konumunun kesin kanıtı olmadığını unutmamak önemlidir.

Ağa uzun vadeli erişim elde etmek için, kötü niyetli aktörler ağırlıklı olarak tespit edilmekten kaçınmaya odaklandı.

Faaliyetlerini gizlemek için belirli günlükleri silmek veya günlüğe kaydetmeyi tamamen durdurmak için FortiOS günlük işlemlerini değiştiren kötü amaçlı yazılım yüklemek için güvenlik açığından yararlandılar.

Dosya sisteminde aşağıdaki eserler var: –

  • /data/lib/libips.bak
  • /data/lib/libgif.so
  • /data/lib/libiptcp.so
  • /data/lib/libipudp.so
  • /data/lib/libjepg.so
  • /var/.sslvpnconfigbk
  • /data/etc/wxd.conf
  • / flaş

Güvenliği ihlal edilmiş cihazlara yüklenen kötü amaçlı yazılımın daha ayrıntılı analizlerine göre, kötü amaçlı yazılıma dahil edilen kötü amaçlı yükler, güvenliği ihlal edilmiş cihazların tehditleri algılamak ve güvenlik ihlalleri gerçekleştiğinde onları engellemek için ağ trafiğini sürekli izleyen IPS’nin güvenlik ihlali algılama yeteneğini de bozdu.

Çözümler

Aşağıda mevcut çözümlerden bahsettik: –

  • Lütfen FortiOS sürüm 7.2.3 veya üzerine yükseltin
  • Lütfen FortiOS sürüm 7.0.9 veya üzerine yükseltin
  • Lütfen FortiOS sürüm 6.4.11 veya üzerine yükseltin
  • Lütfen FortiOS sürüm 6.2.12 veya üzerine yükseltin
  • Lütfen FortiOS sürüm 6.0.16 veya üzerine yükseltin
  • Lütfen gelecek FortiOS-6K7K sürüm 7.0.8 veya üzerine yükseltin
  • Lütfen FortiOS-6K7K sürüm 6.4.10 veya üzerine yükseltin
  • Lütfen FortiOS-6K7K sürüm 6.2.12 veya üzerine yükseltin
  • Lütfen FortiOS-6K7K sürüm 6.0.15 veya üzerine yükseltin
  • Lütfen FortiProxy sürüm 7.2.2 veya üzerine yükseltin
  • Lütfen FortiProxy sürüm 7.0.8 veya üzerine yükseltin
  • Lütfen gelecek FortiProxy sürüm 2.0.12 veya üzerine yükseltin

Geçici çözüm kullanılabilirliği için, kullanıcıların SSL-VPN’yi Devre Dışı Bırakması gerekir. Fortinet, sistemlerini saldırı girişimlerinden korumak için müşterilere FortiOS kurulumlarının en son yamayla güncel olduğundan emin olmalarını ve Aralık ayında gerçekleşen saldırılarla ilgili herhangi bir IOC keşfederlerse destek ekibiyle iletişime geçmelerini tavsiye ediyor.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link