Resim: Yolculuğun ortasında
CISA, FBI ve Amerika Birleşik Devletleri Siber Komutanlığı (USCYBERCOM) tarafından perşembe günü yayınlanan ortak bir tavsiye belgesinde, devlet destekli bilgisayar korsanlığı gruplarının, kritik Zoho ve Fortinet güvenlik açıklarını hedef alan istismarlar kullanarak bir ABD havacılık kuruluşuna saldırı düzenlediği ortaya çıktı.
Bu ihlalin arkasındaki tehdit grupları henüz isimlendirilmedi, ancak ortak tavsiyede saldırganlar belirli bir devletle ilişkilendirilmese de USCYBERCOM’un basın açıklaması, kötü niyetli aktörleri İran’ın sömürü çabalarıyla ilişkilendiriyor.
CISA, Şubat ve Nisan ayları arasındaki olay müdahalesinin bir parçasıydı ve bilgisayar korsanlığı gruplarının, Zoho ManageEngine ServiceDesk Plus ve Fortinet güvenlik duvarını çalıştıran İnternet’e açık bir sunucuyu hackledikten sonra en az Ocak ayından bu yana tehlikeye atılan havacılık organizasyonunun ağında olduklarını söyledi.
“CISA, FBI ve CNMF, ulus devlet gelişmiş kalıcı tehdit (APT) aktörlerinin halka açık bir uygulamaya (Zoho ManageEngine ServiceDesk Plus) yetkisiz erişim sağlamak, kalıcılık oluşturmak ve ağ” uyarısını okuyor.
“Bu güvenlik açığı, ManageEngine uygulamasında uzaktan kod yürütülmesine izin veriyor. Ek APT aktörlerinin, kuruluşun güvenlik duvarı cihazında varlık oluşturmak için CVE-2022-42475’ten yararlandığı da gözlemlendi.”
Üç ABD kurumunun da uyardığı gibi, bu tehdit grupları, kritik ve istismar edilmesi kolay güvenlik açıklarına karşı yama yapılmamış, İnternet’e bakan cihazlardaki güvenlik açıklarını sık sık tarıyor.
Saldırganlar, hedefin ağına sızdıktan sonra, saldırıya uğramış ağ altyapısı bileşenlerinde kalıcılığı sürdürecek. Bu ağ cihazları muhtemelen kurbanların ağları içinde yanal hareket için basamak taşları olarak, kötü amaçlı altyapı olarak veya her ikisinin birleşimi olarak kullanılacaktır.
Ağ savunucularına, altyapının güvenliğine yönelik günümüzün tavsiye niteliğindeki ve NSA tarafından tavsiye edilen en iyi uygulamalar kapsamında paylaşılan hafifletici önlemleri uygulamaları tavsiye edilir.
Bunlar, tüm sistemlerin bilinen tüm güvenlik açıklarına karşı korunmasını, uzaktan erişim yazılımının yetkisiz kullanımının izlenmesini ve gereksiz (devre dışı bırakılmış) hesapların ve grupların (özellikle ayrıcalıklı hesaplar) kaldırılmasını içerir ancak bunlarla sınırlı değildir.
Güvenli sistemlere yönelik önceki saldırılar ve uyarılar
CISA, Ocak ayında federal kurumlara sistemlerini CVE-2022-47966 açıklarından yararlanmaya karşı korumalarını emretti; bu, tehdit aktörlerinin kavram kanıtı (PoC) yararlanma kodunun çevrimiçi olarak yayınlanmasının ardından ters kabukları açmak için çevrimiçi olarak açığa çıkan yama yapılmamış ManageEngine örneklerini hedeflemeye başlamasından birkaç gün sonraydı.
CISA’nın uyarısından aylar sonra, Kuzey Koreli Lazarus hack grubu da Zoho kusurundan yararlanmaya başladı ve sağlık kuruluşlarını ve bir internet omurga altyapı sağlayıcısını başarıyla ihlal etti.
FBI ve CISA, finansal hizmetler ve sağlık hizmetleri de dahil olmak üzere kritik altyapıyı hedef almak için ManageEngine kusurlarından yararlanan devlet destekli gruplarla ilgili çok sayıda başka uyarı (1, 2) yayınladı.
Fortinet’in Ocak ayında açıkladığı gibi, CVE-2022-42475 FortiOS SSL-VPN güvenlik açığı, devlet kurumlarına ve ilgili hedeflere yönelik saldırılarda sıfır gün olarak da kullanıldı.
Fortinet ayrıca, saldırılar sırasında ele geçirilen cihazlara, analiz için alınamayan ek kötü amaçlı yüklerin indirildiği konusunda da uyardı.
Fortinet’in 28 Kasım’da hatayı sessizce düzeltmesinin ardından, müşterilerden ilk olarak Aralık ortasında devam eden saldırılara karşı cihazlarına yama yapmaları istendi.