Bir tehdit oyuncunun, siber güvenlik topluluğunda önemli endişeleri ateşleyerek karanlık bir web pazarında sofistike bir Fortigate API istismar aracı satışa sunduğu bildirildi.
12.000 $ ‘lık bir fiyatla pazarlanan ve işlemleri kolaylaştırmak için emanet hizmetleri ile birlikte gelen aracın, 170’den fazla teminatsız API uç noktasından yararlanarak Fortinet’in Fortios sistemlerini hedeflediği iddia ediliyor ve saldırganlara etkilenen cihazlardan hassas bilgi hassasiyeti hasat etmek için araçlar sağlıyor.
Aracın yeteneklerine ilişkin ayrıntılar, yeraltı forumlarındaki sızdırılmış reklamlar ve resim gönderileri yoluyla ortaya çıkmıştır.
.png
)
İddia edilen API istismar aracı iddiası
Bu açıklamalara göre, istismar, özellikle 7.2 ve daha düşük olan savunmasız Fortios sürümlerini çalıştıran çok çeşitli Fortigate güvenlik duvarı aletlerinden veri tarayabilen ve çıkarabilen otomatik bir modüle sahiptir, ancak 6.x ailesindeki önceki sürümleri etkilediği doğrulanmıştır.
Hızlı, toplu veri çıkarma için çok iş parçacıklı teknikler kullanır ve saldırganların aynı anda birden fazla hedefe ulaşmasını ve tek bir işlemde 150 benzersiz yapılandırma dosyasını dökmesini sağlar.
İstismar, son derece hassas ve görev açısından kritik konfigürasyon verilerine erişim sağlamaktadır. Geri alınabileceği iddia edilen bilgi türleri arasında güvenlik duvarı politikaları, VPN oturum günlükleri, kullanıcı hesabı kimlik bilgileri, SSL portal kurulumları, SNMP topluluğu ve şifreleme anahtarları ve DN’ler, yüksek kullanılabilirlik kümelenmesi ve NTP sunucu detayları dahil daha fazla ezoterik ağ ayarları bulunmaktadır.
Özellikle, araç geleneksel kimlik doğrulamasını atladığını iddia eder, yalnızca cihazın IP adresi ve API bağlantı noktası hakkında bilgi gerektirir.
Bu tür yetkisiz erişimin etkisi şiddetli olabilir, organizasyonel ağ düzenlerini, yönetici şifre karmalarını, yedek yapılandırma dosyalarını ve hatta SAML, LDAP, RADIUS veya VPN oturumları için canlı kimlik doğrulama jetonları olabilir, lateral hareketin veya şirket ortamlarında ayrıcalık artışının yolunu açar.
Güvenlik analistleri, böyle bir istismarın ortaya çıkmasının sadece fırsatçı saldırılar riskini arttırmadığı, aynı zamanda daha az deneyimli kötü niyetli aktörlerin kurumsal ölçekli ihlalleri sürdürmesi için teknik engelleri de azalttığı konusunda uyarıyor.
Aracın otomasyonu, yapılandırılmış veri çıktısı ve gizli HTTP başlık manipülasyonu desteği ile birleştiğinde, hem kitle sömürü kampanyalarına hem de casusluk çabalarını göreceli olarak kolaylıkla hedefliyor.
Şu anda Fortinet’ten istismarın doğruluğu hakkında bir onay yoktur, ancak etkilenen Fortios sürümlerini yürüten kuruluşların güvenlik duruşlarını gözden geçirmeleri, yetkisiz API erişimini kısıtlamaları ve mevcut olduğunda ürün yazılımı yamalarını uygulamaları istenmektedir.
Vahiyler, siber suçlu pazarlarda gelişmiş sömürü araçlarının metalaşmasının, sürekli uyanıklığın, sağlam güvenlik açığı yönetiminin önemini, güçlü savunmasızlık yönetiminin ve işletme savunma stratejilerinde güvenlik güncellemelerinin hızlı bir şekilde konuşlandırılmasının artmasının artmasının altını çizmektedir.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial