Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik İşlemleri
Saldırganlar tarafından dikilen sembolik bağlantılar yamadan kurtuldu, salt okunur erişim sağladı
Mathew J. Schwartz (Euroinfosec) •
14 Nisan 2025
Saldırganlar, yamalandıktan sonra bile saldırıya uğramış Fortinet cihazlarına uzaktan erişimi sürdürmek için bir teknik kullanıyorlar.
Ayrıca bakınız: Bulut güvenliği ve güvenlik duvarının gelişen rolü
Satıcı Perşembe günü, en az bir dizi saldırganın, daha sonra bilinen güvenlik açıklarından üçlüsünü kullanmalarına ve yeni nesil güvenlik duvarlarına uzak, okunaklı erişimi sürdürmelerine izin veren saldırıya uğramış cihazlara sembolik bağlantılar diktiğini söyledi. Sembolik bağlantılar, yani SymLinks, çoğu işletim sistemi tarafından desteklenir ve işletim sisteminin otomatik olarak bir dosya veya dizin yol olarak yorumladığı ve daha sonra takip ettiği bir metin dizesi içerir.
Bir blog yazısında, Carl Windsor Ciso, Carl Windsor Ciso, Carl Windsor Ciso, “Bir tehdit oyuncusu, savunmasız Fortigate cihazlarına salt okunur erişim uygulamak için bilinen bir güvenlik açığı kullandı. “Bu değişiklik kullanıcı dosya sisteminde gerçekleşti ve algılamadan kaçındı. Bu nedenle, müşteri cihazı orijinal güvenlik açıklarını ele alan Fortios sürümleri ile güncellenmiş olsa bile, bu sembolik bağlantı geride bırakılmış olabilir ve tehdit aktörünün cihazın dosya sistemindeki dosyalara yapılandırmaları içerebilecek tekerlekli erişimi sürdürmesine izin verir.”
Shadowserver Vakfı, Pazar gününden itibaren İnternet taramalarının Amerika Birleşik Devletleri’nde en az 1.700 uzlaştırılmış cihaz, Tayvan’da 787, Çin’de 773, Japonya’da 719 ve Fransa’da 512’yi diğer birçok ülkenin tanımladığını söyledi. Etkilenen cihazların sayısı son günlerde artmaktadır.
Saldırı yüzey yönetimi firması Watchtowr CEO’su Benjamin Harris, saldırganların altta yatan bir güvenlik açığının yamalanmasından sonra bile kalıcılığı koruma yeteneğinin endişe verici bir trendin bir parçası olduğunu söyledi. “, Yama, yükseltme ve fabrika sıfırlama süreçlerinden kurtulmak için tasarlanmış hızlı sömürüden sonra, organizasyonların, uzlaşmış organizasyonlara kalıcılığı ve erişimi korumak için bu durumları azaltmak için güvenmeye başladıktan sonra, birçok kez, saldırganların yetenekleri ve arka kapıları kullandık.” Dedi.
Bilgisayar korsanları, özellikle ulus-devlet tehdit aktörleri, Fortinet aletleri de dahil olmak üzere ağ kenar cihazlarına kurumsal ağlara erişim noktası olarak ev sahipliği yapıyorlar. Kenar cihazları, ağ güvenliği için tasarlanmışlar bile, kendileri genellikle savunuculara opaktır, yavaş yama oranlarından muzdariptir ve dikkate değer sayıda sıfır günlük kusur barındırdığı gösterilmiştir (bkz:: Kenar ve altyapı cihazlarına yönelik saldırılarda artış).
Saldırganlar tarafından kötü niyetli sembolik bağlantılar yoluyla sömürülen güvenlik açıkları şunlardır:
- CVE-2022-42475: Fortios SSL-VPN’deki yığın tabanlı tampon taşma güvenlik açıkları;
- CVE-2023-27997: Fortios ve Fortiproxy SSL-VPN’de yığın bazlı tampon taşma güvenlik açığı;
- CVE-2024-21762: Sınır dışı, Fortios ve Fortiproxy’de güvenlik açığı yazar.
Bu saldırı vektörü, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı Cuma uyarısında “cihazın dosya sistemindeki dosyalara salt okunur erişim sağlayabilir” dedi.
Bu tür saldırıların başarılı olması için bir yöneticinin bir cihazda SSL-VPN’yi etkinleştirmiş olması gerekir.
Satıcı, doğrudan bilgilendirildiğini ve telemetrisinin hedeflendiğini belirlediği tüm müşterilerle birlikte çalıştığını söyledi.
Son güncellemeler kötü amaçlı sembolikleri kaldırın
Zaten hedeflenen veya başka bir şekilde – Fortinet, cihazlarındaki Fortios’u hemen saldırı vektörünü engelleyen 7.6.2, 7.4.7, 7.2.11, 7.0.17 veya 6.4.16 sürümlerine yükseltmelerini önerir. Spesifik iyileştirmeler, yerleşik antivirüs ve izinsiz giriş önleme sistemi motorunun kaldırılması için kötü niyetli bağlantının işaretlenmesi, zaten mevcutsa kötü niyetli sembolik bağlantının kaldırılması ve kötü niyetli sembolik bağlantıların sunulmasını önlemek için SSL-VPN kullanıcı arayüzünün güncellenmesi yer alır.
CISA, “Yama uygulanana kadar bir çalışma hafifletme olarak, dosyanın sömürülmesi SSL-VPN’nin etkinleştirilmesini gerektirdiğinden SSL-VPN işlevselliğini devre dışı bırakmayı düşünün.” Dedi.
Güvenlik uzmanları, tamamen yamalı cihazların bile tehlikeye atılmış olabileceğini vurgulamıştır. Avustralya Sinyalleri Müdürlüğü’nden bir Cuma güvenlik uyarısı, “Gözlenen gözlemlenen sisatlama sonrası faaliyet, açılmamış cihazlar veya yamalanmadan önce tehlikeye atılan cihazlarla ilgilidir.” Dedi.
Daha önce hedeflenen kuruluşlar için Fortinet, tüm cihaz yapılandırmalarını gözden geçirmelerini, bunlara “potansiyel olarak tehlikeye atılmış” olarak değerlendirilmelerini ve potansiyel olarak kimlik bilgilerini sıfırlamayı içeren kurtarma tavsiyesini izlemelerini önerir.
Fortinet’in Windsor’u, saldırganlar tamamen yamalı cihazlardan yararlanabilmelerine rağmen, “tüm kuruluşların cihazlarını güncel tutması kritik öneme sahip” dedi. “Çeşitli hükümet kuruluşları, devlet destekli tehdit aktörlerinin bilinen fakat açılmamış güvenlik açıkları da dahil olmak üzere tüm satıcıları hedeflediğini bildirdi” (bakınız: Edge Cihazlar, kütle kaba kuvvet şifre saldırılarında artışla yüzleşir).
Hızlı yama gerekli kalır. 2023’ün ikinci yarısından gelen saldırıları gözden geçiren Fortiguard Labs tarafından yayınlanan araştırmalar, saldırganların genel olarak açıklandıktan sonra ortalama 4,76 gün sonra bilinen güvenlik açıklarını hedeflemeye başladığını buldu. Bazı bireysel saldırganlar çok daha hızlı hareket eder.
Fortinet, işletim sistemini sertleştirmeyi amaçlayan en yeni nesil Fortios’larda başka güncellemeler yaptığını, müşterilerin bir yama yükleyene kadar saldırıları engellemelerine yardımcı olmak için sanal yama eklediğini, otomatik güncelleme özelliği ekleyerek BIOS aracılığıyla donanımdaki ürün yazılımını doğrulama yeteneği eklediğini söyledi.