Geçen hafta, Fortinet Fortigate güvenlik duvarlarını etkileyen kritik bir güvenlik açığı olan CVE-2024-55591’in uzun süredir istismar edildiğine ilişkin onay ve uyarılara rağmen, çok sayıda güvenlik açığı bulunan cihaza hâlâ İnternet’ten erişilebilir ve saldırılara açık durumda: Verilere göre 48.000’in üzerinde. Shadowserver Vakfı.
CVE-2024-55591’den yararlanma
10 Ocak’ta Artic Wolf Labs araştırmacıları, sıfır gün güvenlik açığından yararlanarak halka açık internete açık yönetim arayüzlerine sahip FortiGate güvenlik duvarlarını hedef alan bir saldırı kampanyasının ana hatlarını çizdiler.
Saldırganların savunmasız cihazları taramasını, sıfır günü istismar etmesini, yönetim arayüzünde yönetici olarak oturum açmasını, cihaz yapılandırmasını değiştirmesini, yeni oluşturmasını veya mevcut hesapları ele geçirmesini, yeni SSL VPN portalları oluşturmasını, etkilenen cihazlarla SSL VPN tünelleri kurmasını ve Yanal hareket için kimlik bilgilerinin çıkarılması.
Fortinet, birkaç gün sonra güvenlik açığının CVE numarasını, yamaların ve geçici çözümlerin kullanılabilirliğini ve kampanyayla ilişkili güvenlik ihlali göstergelerini de açıklayarak varlığını ve kullanımını kamuoyuna açıkladı.
Şirket ayrıca “CVE-2024-55591 ile ilgili rehberlik sağlamak için müşterilerle proaktif bir şekilde iletişim kurduğunu” söyledi ve tavsiye belgesinin yayınlanmasından önce bazı müşterilerle erken rehberliği gizlice paylaştıklarını belirtti.
Aynı gün (14 Ocak), ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi.
Son durum nedir?
Arctic Wolf’a göre kampanya 16 Kasım 2024 ile 27 Aralık 2024 arasında gerçekleşti.
Cuma günü risk danışmanlığı firması Kroll, 1 Kasım 2024’ten itibaren keşif faaliyetleriyle eşleşen aktör kontrollü altyapıdan FortiGate cihazlarına bağlantılar gözlemlediklerini açıkladı.
Genel Müdür Yardımcısı George Glass, “Bu aktivitenin daha önce başlamış olması mümkün ancak cihazlara erişim olmadan bunu doğrulamak mümkün değil” dedi. “Kroll, kampanyanın fırsatçı olduğunu ve herhangi bir sektör veya coğrafyayla sınırlı olmadığını değerlendiriyor.”
Saldırganların nihai hedefi hala bilinmiyor.
FortiGate güvenlik duvarlarını ve FortiProxy web ağ geçitlerini çalıştıran kuruluşlar, sağlanan güvenlik güncellemelerini uygulamalı, yönetim arayüzlerini internetten kaldırmalı veya bunlara erişimi güvenilir dahili kullanıcılarla sınırlamalı, tehlike göstergelerini kontrol etmeli ve eğer bulunursa, daha fazla olay müdahale eylemi gerçekleştirmelidir.
Ne yazık ki, Shadowserver verilerinin de gösterdiği gibi, çoğu kişi henüz ilk iki adımı atmadı: 17 Ocak’ta kuruluş, internete yönelik yaklaşık 52.000 savunmasız FortiGate cihazı tespit etti; beş gün sonra bu sayı 48.000 civarına düştü.
Bu cihazların çoğunluğu Asya ve Kuzey Amerika’da bulunmaktadır.