Mart ayı başlarında, bir müşteri, birden fazla FortiGate güvenlik cihazı çalışmayı durdurduğunda ve bellenim kendi kendine bütünlük testinde başarısız olduktan sonra bir hata moduna girdiğinde Fortinet’in olay müdahale ekibini aradı.
Bu, Fortinet cihazlarında ayrıcalıklı bir saldırganın dosyaları okumasına ve yazmasına izin veren, orta düzeyde önem taşıyan ancak yüksek düzeyde istismar edilebilir bir hata (CVE-2022-41328) olan en son güvenlik açığının keşfedilmesine yol açan bir siber saldırıydı. Fortinet’in yakın tarihli bir saldırı analizinde, Fortinet’in “gelişmiş aktör” olarak etiketlediği tehdit grubunun devlet kurumlarını veya devletle ilgili kuruluşları hedef aldığı ortaya çıktı.
Ancak olay, saldırganların Fortinet cihazlarına büyük önem verdiğini de gösteriyor. Ve saldırı alanı geniş: Bu yıl şimdiye kadar, Fortinet ürünlerindeki 60 güvenlik açığı CVE’lere atandı ve Ulusal Güvenlik Açığı Veritabanında yayınlandı; bu, bir önceki zirve yılı olan 2021’de Fortinet cihazlarında açıklanan kusur oranının iki katı. kritik de: Bu ayın başlarında Fortinet, FortiOS ve FortiProxy’deki (CVE-2023-25610) kritik bir arabellek altına yazma güvenlik açığının, kimliği doğrulanmamış bir uzaktan saldırganın çeşitli cihazlarda herhangi bir kod çalıştırmasına izin verebileceğini ortaya çıkardı.
İlgi de yüksek. Örneğin Kasım ayında bir güvenlik firması, bir siber suçlu grubunun bir Rus Dark Web forumunda güvenliği ihlal edilmiş FortiOS cihazlarına erişim sattığı konusunda uyarıda bulundu. Ancak bir güvenlik eğitim firması olan Cybrary’de tehdit istihbaratı kıdemli direktörü David Maynor, güvenlik açıklarının dikkatleri üzerine çekip çekmediğinin tartışmalı olduğunu söylüyor.
“Saldırganlar suda kan kokusu alıyor” diyor. “Son iki yılda uzaktan yararlanılabilen güvenlik açıklarının sayısı ve sıklığı baş döndürücü bir hızla arttı. Fortinet açıklarını entegre etmeyen bir ulus-devlet grubu varsa, işini aksatıyorlar.”
Tehdit istihbaratı firması GreyNoise Research’ün araştırma ekibi, diğer ağ güvenlik cihazları gibi, Fortinet cihazlarının da İnternet ile dahili ağlar veya uygulamalar arasındaki kritik noktada yer alarak onları kurumsal ağlara girmek isteyen saldırganlar için değerli bir uzlaşma hedefi haline getirdiğini söyledi. Dark Reading ile e-posta röportajı.
Ekip, “Fortinet cihazlarının büyük bir çoğunluğu uç cihazlardır ve sonuç olarak genellikle İnternet’e dönüktür” dedi. “Bu, tüm uç cihazlar için geçerlidir. Bir saldırgan, bir istismar kampanyasının çabalarından geçecekse, uç cihazların hacmi[s] değerli bir hedef için.”
Araştırmacılar ayrıca Fortinet’in saldırganların hedefinde muhtemelen yalnız olmadığı konusunda da uyardı.
GreyNoise Research, “Herhangi bir satıcının tüm uç cihazları er ya da geç güvenlik açıklarına sahip olacaktır.” Dedi.
Fortinet Saldırısı Ayrıntılı
Fortinet, danışma belgesinde müşterilerinin cihazlarına yapılan saldırıyı biraz ayrıntılı olarak anlattı. Saldırganlar, güvenlik açığını cihazın sabit yazılımını değiştirmek ve yeni bir ürün yazılımı dosyası eklemek için kullanmıştı. Saldırganlar, FortiManager yazılımı aracılığıyla FortiGate cihazlarına erişim sağladı ve kalıcılığı sürdürmek için cihazların başlangıç komut dosyasını değiştirdi.
Fortinet’in belirttiğine göre, kötü amaçlı ürün yazılımı, yazılımın komut ve kontrol (C2) sunucusundan aldığı komuta bağlı olarak veri hırsızlığına, dosyaların okunmasına ve yazılmasına izin vermiş veya saldırgana uzak bir kabuk vermiş olabilir. Yarım düzineden fazla başka dosya da değiştirildi.
Ancak olay analizi, diğer ayrıntıların yanı sıra saldırganların FortiManager yazılımına nasıl ayrıcalıklı erişim elde ettikleri ve saldırı tarihi gibi bazı kritik bilgilerden yoksundu.
Şirketle iletişime geçildiğinde, bir görüşme talebine yanıt olarak bir bildiri yayınladı: “7 Mart’ta CVE-2022-41328 ile ilgili tavsiye edilen sonraki adımları ayrıntılarıyla anlatan bir PSIRT danışma belgesi (FG-IR-22-369) yayınladık” dedi şirket. “Müşterilerimizin güvenliğine yönelik devam eden taahhüdümüzün bir parçası olarak Fortinet, 9 Mart tarihli blog gönderisinde ek ayrıntılar ve analizler paylaştı ve müşterilere sunulan kılavuza uymalarını tavsiye etmeye devam ediyor.”
GreyNoise Araştırma ekibi Dark Reading’e, Fortinet’in genel olarak, güvenlik açığını bulup ifşa ederek ve olaya verdikleri yanıtın bir analizini yayınlayarak doğru şeyler yaptığını söyledi.
“İki gün sonra, bir yönetici özetinin yanı sıra çok büyük bir rapor da dahil olmak üzere ayrıntılı bir analiz yayınladılar. [number] güvenlik açığının doğası ve saldırganın etkinliği hakkında doğru ayrıntıların [with] eyleme geçirilebilir istihbarat,” dedi ekip. “Fortinet bu güvenlik açığı hakkında açık, zamanında ve doğru bir şekilde iletişim kurmayı seçti.”