SOC’den hikayeler: Vahşi doğada gözlemlenen Fortinet kimlik doğrulama atlaması


[ This article was originally published here ]

Yönetici Özeti:

Fortinet’in en yeni güvenlik açığı olan CVE-2022-40684, yönetici SSH anahtarlarını manipüle etmek için kimlik doğrulama atlamasını, yapılandırma dosyalarının yetkisiz indirilmesini ve süper yönetici hesaplarının oluşturulmasını sağlar, yama uygulanmamış ve açıkta kalan Fortinet cihazlarının arkasına büyük bir hedef koyar.

Bir müşteri, Fortinet’in İzinsiz Girişe Karşı Koruma Sistemi (IPS) uyarısıyla başlatılan bir tehdit avı yoluyla keşfedilen gerçek bir olumlu uzlaşmaya dahil oldu. Müşteri ve MXDR ile müşterinin ağı ve güvenlik ekipleri arasındaki koordinasyonla, tehdit giderildi ve kontrol altına alındı ​​ve savunmasız cihazlara yama uygulandı.

Soruşturma

İlk araştırma, kimlik doğrulama atlamasını istismar etmeye çalışan iki IP adresi için bir IPS algılamasıyla ilgili bir soruşturmadan bahseden müşteriyle yapılan bir taktiksel check-in sırasında başladı.

Fortinet sorunu bulundu

Olaya dönersek, cmdb dosya yoluna yapılan potansiyel olarak yetkisiz API istekleri için Fortinet tarafından oluşturulan algılamaları görebiliriz.

soruşturma olayı

Fortinet’in güvenlik açığıyla ilgili tavsiyesi sayesinde, olası kötü amaçlı etkinliklerin bir kullanıcıdan kaynaklanabileceğini öğrendik. Yerel_Süreç_Erişim ve kullanacak Node.js veya Rapor Çalıştırıcısı arayüz. Raporlar, API bağlantılarına yönelik bazı işleyicilerin, IP adresinin bir geri döngü adresi olması ve Rapor Çalıştırıcısı veya Node.js. Bu bilgilerden yola çıkarak, dikkatimizi IPS tarafından algılanmayan potansiyel gerçek pozitiflere çevirebiliriz. üzerinde hızlı bir filtre yapmak Yerel_Süreç_Erişim kullanıcı bazı ilginç olaylar üretti:

Fortinet 3

Bu iyi görünmüyor. Saldırganın Yerel Sertifikayı başarıyla indirmeyi başardığını görebildiğimiz ilk olay:

yerel sertifika

Bu, saldırganın sertifika sahibinin e-posta adresi, Fortigate’in IP adresi, şirket adı, Fortigate’in kurulduğu konum ve diğer hassas ayrıntılar gibi sertifika bilgilerini görmesine olanak tanır. Bu yerel sertifikalar oluşturulur ve ortam güveni için Sertifika Yetkilisine (CA) sağlanır.

Kısa süre sonra saldırgan, Fortigate’in sistem yapılandırmasını indirmeyi başardı:

sistem yapılandırması

Sonunda, birkaç saat sonra bir komut dosyası yüklemeyi ve bir super_admin kullanıcısı oluşturmak için çalıştırmayı başardılar:

süper kullanıcı

Fortinet 7

Fortinet 8

Bu, gözlemlenebilir aktivitenin sona erdiği yerdir. Yerel_İşlem_Kullanıcısı ve yeni oluşturulan yönetici hesabı. Düzeltme bu noktada başladı.

Tepki

Yönetici hesabı keşfedildikten sonra, acilen bir ağ yöneticisiyle iletişime geçildi ve hesabı kaldırmayı başardı. Düzeltme işlemi sırasında ağ yöneticisi, yönetim bağlantı noktasının harici arabiriminde HTTPS’nin açık olduğunu gözlemledi; bu, saldırganın ilk dayanak noktasını bu şekilde elde etmiş olabilir. Oluşturulduktan sonra hesapta hiçbir etkinlik görülmediğinden, oluşturulan super_admin hesabının, cihaza yama yapılması durumunda arka kapı olarak kullanılacağına inanılıyor. Saldırganın kullandığı komut dosyası kurtarılamadı, ancak yüklendikten ve yürütüldükten sonra muhtemelen yönetici hesabını oluşturmak için kullanıldı.

Yamanın önemi:

Fortinet, bu güvenlik açığının açıklandığı gün bir yama yayınladı ve yama hemen uygulanabilir değilse hafifletme adımları da yayınlandı. Azaltma adımlarından biri, gerekmediği takdirde harici yönetim arabiriminde HTTPS/HTTP’yi devre dışı bırakmaktı. Söz konusu Fortinet Fortigate, yönetim arayüzü açık olan tek cihazdı ve bu nedenle saldırganın güvenlik açığından yararlanması için kolay bir yol sağladı.

Bu aktivitenin müşteri günlükleri üzerinden tehdit avı yoluyla tespit edilmesi sonucunda, platformun gelecekteki tavizleri algılaması için ek korelasyon mantığı oluşturuldu.

reklam





Source link