Cyble güvenlik firmasından güvenlik uzmanları, yakın zamanda Fortinet ürünlerinin birden çok sürümünü etkileyen bir güvenlik açığı olan CVE-2022-40684’ü belirlediler ve bu ürün yelpazesi aşağıdaki ürünleri içeriyor:-
- FortiOS
- FortiProxy
- FortiSwitchManager
Fortinet ürünlerinde yakın zamanda yamalanan kritik bir güvenlik açığı, kötü niyetli aktörler tarafından kurumsal ağlara erişim elde etmek için kullanılmış olabilir ve yalnızca bu değil, aynı zamanda bu ilk erişimi sattıkları da bulunmuştur.
Fortinet Ürünleri Saldırganı Hedef Aldı
Bir saldırgan tarafından hedeflenen Fortinet ürünleri, bir saldırganın, hedeflenen cihazın bir kontrol mekanizması kullanarak REST API işlevine erişip erişmediğini değerlendirmekten sorumlu bir işlev içindeki bir özellikten yararlanmasına olanak tanıyan bir saldırı mekanizması içerir.
Ekim ayı başlarında duyurulmasına rağmen, bu kusur kamuya açıklandığında zaten tehdit aktörleri tarafından kullanılmıştı.
Saldırgan, genellikle söz konusu sistemle ilişkili bir hesaba geçerli bir genel SSH anahtarı güncelleyerek veya ekleyerek hedeflenen bir sisteme tam erişim elde edebilir.
Tehdit Aktörü’nün bu güvenlik açığından yararlanarak elde ettiği dayanak noktası ve bilgi nedeniyle, aktörün BT ortamının geri kalanına karşı çeşitli başka saldırılar başlatması mümkündür.
Çevrimiçi tarayıcılardan birinin iddia ettiği gibi 100.000’den fazla FortiGate güvenlik duvarı internete maruz kaldı. Tehdit aktörlerinin bir sistemi daha fazla tehlikeye atmak için güvenlik açığından yararlanması ve ardından aşağıdaki yasa dışı eylemleri gerçekleştirmesi mümkündür:-
- Saldırganın güvenliği ihlal edilmiş sisteme erişmesini sağlamak için yönetici kullanıcıların SSH anahtarlarını değiştirin.
- Yerel olarak yeni kullanıcılar eklenebilir.
- Ağ yapılandırmasını güncelleyerek trafiği yeniden yönlendirin.
- Sistemin konfigürasyonu indirilebilir.
- Paket yakalamaları başlatarak sistemle ilgili diğer hassas bilgileri elde edin.
- Karanlık ağda veya karanlık forumlarda, tehdit aktörleri ayrıca aşağıdaki hassas bilgileri de yayabilir:-
- Sistem bilgisi
- Sistem konfigürasyonları
- Ağ ayrıntıları
Etkilenen Ürünler
Aşağıda, etkilenen ürünlerden bahsetmiştik:-
- FortiOS sürüm 7.2.0 – 7.2.1
- FortiOS sürüm 7.0.0 ila 7.0.6
- FortiProxy sürüm 7.2.0
- FortiProxy sürüm 7.0.0 ila 7.0.6
- FortiSwitchManager sürüm 7.2.0
- FortiSwitchManager sürüm 7.0.0
Yasadışı Dağıtım
Rus siber suç forumlarından biri, Cyble araştırmacıları tarafından rutin olarak izlendi ve araştırmacılar, yetkisiz Fortinet VPN erişiminin bir tehdit aktörü tarafından dağıtıldığını gözlemledi.
Saldırı anında FortiOS’un eski olduğu tespit edilirken, mağdur kuruluşların FortiOS’u kullandığı belirlendi.
öneriler
Aşağıda, güvenlik uzmanları tarafından sunulan tüm önerilerden bahsetmiştik: –
- Etkilenen ürünlere resmi satıcının en son yaması uygulanmalıdır.
- Ağınızı uygun şekilde bölümlere ayırın ve uygun güvenlik önlemlerini uygulayın.
- Kritik varlıkları korumak için güvenlik duvarları doğru yapılandırılmalı ve güncellenmelidir.
- Ağ anormalliklerini olabildiğince erken tespit etmek için ağ etkinliğini sürekli olarak izlemek ve günlüğe kaydetmek yararlı olabilir.
- BT ortamında erişimin uygun ve verimli bir şekilde yönetilmesi esastır.
- Saldırganların yararlanabileceği güvenlik açıklarını bulmak için düzenli denetim, güvenlik açığı testi ve sızma testi çalışmaları şarttır.
- Kuruluşun güvenli yedekleme, arşivleme ve kurtarma süreçlerine sahip olduğundan emin olun.
- Kuruluşların çalışanlarına siber güvenlik farkındalık eğitim programları sağlamalarına ihtiyaç vardır.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin