Bilinmeyen saldırganlar, işletim sistemi ve dosya bozulmasına ve veri kaybına yol açan hükümet ve büyük kuruluşları hedef alan saldırılarda bu ay yamalanan yeni bir FortiOS hatasını kötüye kullanmak için sıfır gün açıklarını kullandı.
Fortinet, tehdit aktörlerinin yetkisiz kod veya komutlar yürütmesine izin veren bu yüksek önemdeki güvenlik açığını (CVE-2022-41328) gidermek için 7 Mart 2023’te güvenlik güncellemeleri yayınladı.
“Yol adının kısıtlı bir dizin güvenlik açığına (‘yol geçişi’) uygunsuz bir şekilde sınırlandırılması [CWE-22] FortiOS, ayrıcalıklı bir saldırganın hazırlanmış CLI komutları aracılığıyla rastgele dosyaları okumasına ve yazmasına izin verebilir,” diyor şirket danışma belgesinde.
Etkilenen ürünlerin listesi FortiOS sürüm 6.4.0 – 6.4.11, FortiOS sürüm 7.0.0 – 7.0.9, FortiOS sürüm 7.2.0 – 7.2.3 ve tüm FortiOS 6.0 ve 6.2 sürümlerini içerir.
Güvenlik açığını yamalamak için yöneticilerin savunmasız ürünleri FortiOS sürüm 6.4.12 ve sonraki sürümlerine, FortiOS sürüm 7.0.10 ve sonraki sürümlerine veya FortiOS sürüm 7.2.4 ve sonraki sürümlerine yükseltmeleri gerekir.
Kusurun tavsiye belgesi, hatanın yamalar yayınlanmadan önce vahşi ortamda istismar edildiğinden bahsetmese de, geçen hafta yayınlanan bir Fortinet raporu, CVE-2022-41328 istismarlarının birine ait birden fazla FortiGate güvenlik duvarı cihazını hacklemek ve devre dışı bırakmak için kullanıldığını ortaya çıkardı. müşterilerinin
Veri hırsızlığı kötü amaçlı yazılımı
Olay, güvenliği ihlal edilmiş Fortigate cihazlarının “Sistem FIPS hatası nedeniyle hata moduna giriyor: Ürün Yazılımı Bütünlüğü kendi kendini sınaması başarısız oldu” mesajlarıyla kapatıldıktan ve yeniden başlatılamadıktan sonra keşfedildi.
Fortinet, bunun nedeninin FIPS özellikli cihazlarının sistem bileşenlerinin bütünlüğünü doğrulaması ve bir güvenlik ihlali algılanırsa bir ağ ihlalini engellemek için otomatik olarak kapanacak ve önyüklemeyi durduracak şekilde yapılandırıldığını söylüyor.
Bu Fortigate güvenlik duvarları, kurbanın ağındaki bir FortiManager cihazı aracılığıyla ihlal edildi, çünkü hepsi aynı anda durduruldu, aynı taktikler kullanılarak saldırıya uğradı ve FortiGate yol geçişi istismarı, FortiManager aracılığıyla yürütülen komut dosyalarıyla aynı anda başlatıldı.
Sonraki araştırma, saldırganların önyükleme işlemi başlamadan önce bir yük (/bin/fgfm) başlatmak için aygıt üretici yazılımı görüntüsünü (/sbin/init) değiştirdiğini gösterdi.
Bu kötü amaçlı yazılım, “;7(Zu9YTsA7qQ#vm” dizesini içeren bir ICMP paketi alırken veri hırsızlığına, dosyaların indirilip yazılmasına veya uzak kabukların açılmasına izin verir.
Devlet ağlarına saldırmak için sıfır gün kullanıldı
Fortinet, tehdit aktörlerinin devlet ağlarını tercih ettiğini gösteren bazı kanıtlarla, saldırıların yüksek oranda hedefli olduğu sonucuna vardı. Saldırganlar ayrıca FortiGate cihazlarının işletim sisteminin tersine mühendislik parçaları da dahil olmak üzere “gelişmiş yetenekler” sergilediler.
Şirket, “Saldırı, tercih edilen hükümet veya hükümetle ilgili hedeflere dair bazı ipuçları ile yüksek oranda hedeflendi” dedi.
“İstismar, FortiOS ve altında yatan donanım hakkında derin bir anlayış gerektiriyor. Özel implantlar, oyuncunun FortiOS’un çeşitli parçalarının tersine mühendislik dahil olmak üzere gelişmiş yeteneklere sahip olduğunu gösteriyor.”
Fortinet müşterilerine, potansiyel saldırı girişimlerini engellemek için derhal FortiOS’un yamalanmış bir sürümüne yükseltmeleri tavsiye edilir (IOC’lerin bir listesi de burada mevcuttur).
Ocak ayında Fortinet, Aralık 2022’de yamalanan ve CVE-2022-42475 olarak izlenen bir FortiOS SSL-VPN güvenlik açığının da devlet kurumlarını ve devletle ilgili kurumları hedef almak için sıfır gün hatası olarak kullanıldığı çok benzer bir dizi olayı açıkladı.
FortiOS SSL-VPN sıfır gün saldırıları, yama uygulanmamış SonicWall Secure Mobile Access (SMA) cihazlarına ürün yazılımı yükseltmelerinden kurtulan siber casusluk amaçlı kötü amaçlı yazılımları bulaştıran bir Çin bilgisayar korsanlığı kampanyasıyla birçok benzerliği paylaşıyor.