Son yıllarda, VPN güvenlik açıkları dünya çapında kuruluşlar için kritik bir tehdit vektörü olarak ortaya çıkmıştır.
Hem siber suçlu gruplar hem de devlet destekli varlıklar da dahil olmak üzere tehdit aktörleri, hassas ağlara yetkisiz erişim elde etmek için bu güvenlik açıklarından giderek daha fazla yararlanmaktadır.
İki önemli güvenlik açığı, CVE-2018-13379 ve CVE-2022-40684, saldırganın oyun kitabında zımba haline geldi ve büyük ölçekli kimlik hırsızlığı ve VPN altyapısı üzerinde idari kontrol sağladı.
Sömürü taktikleri ve etki
Fortinet’in Fortigate SSL VPN cihazlarında bir yol geçiş kırılganlığı olan CVE-2018-13379, sadeliği ve etkinliği nedeniyle saldırganlar arasında favori olmaya devam ediyor.
Bu güvenlik açığı, düz metin VPN kimlik bilgileri de dahil olmak üzere hassas sistem dosyalarına doğrudan, yetkili olmayan erişim sağlar.
Yaklaşık beş yaşında olmasına rağmen, genellikle kimlik bilgisi hırsızlığını büyük bir ölçekte kolaylaştıran otomatik kavram kanıtı (POC) yoluyla sömürülmeye devam ediyor.
Relia Quest raporuna göre, bu güvenlik açığı uzun süreli casusluk için APT28 ve Muddywater gibi devlet destekli gruplar tarafından kullanılırken, siber suçlular fidye yazılımı veya karanlık web satışları yoluyla çalıntı kimlik bilgilerini para kazanmaya odaklanmaktadır.
Fortinet Fortios, Fortiproxy ve FortimAnager cihazlarında bir kimlik doğrulama baypas güvenlik açığı olan CVE-2022-40684, geçerli kimlik bilgileri gerektirmeden saldırganların yöneticisi düzeyinde erişim sunar.
Bu kontrol düzeyi, tehdit aktörlerinin cihaz yapılandırmalarını manipüle etmesini, hassas verileri çıkarmasını ve sürekli ağ hakimiyeti için kötü amaçlı politikalar dağıtmasını sağlar.
Bir tehdit oyuncusu olan Belsen_Group, dünya çapında 15.000’den fazla Fortigate cihazı etkileyen bir ihlalde bu kırılmada bu tür saldırıların ölçeğini ve kalıcılığını vurguladı.
AI ve otomasyonun rolü
AI ve otomasyonun yükselişi, VPN saldırılarının ölçeğini ve karmaşıklığını artırıyor.
AI ile çalışan araçlar, kimlik bilgisi hasat için kimlik avı kampanyalarını ve kaba kuvvet saldırılarını otomatikleştirebilirken, büyük dil modelleri (LLMS) neredeyse anında yüksek değerli hedefleri tanımlamak için kimlik bilgisi dökümlerini analiz eder.
Bu teknolojik ilerlemenin hem kimlik temelli hem de altyapı düzeyinde saldırıları kolaylaştırması ve kuruluşları AI odaklı savunmaları benimsemeye ve algılama süreçlerini otomatikleştirmeye zorlaması beklenmektedir.
Bu tehditlere karşı koymak için kuruluşlar, yama güvenlik açıklarına öncelik vermeli, çok faktörlü kimlik doğrulamayı (MFA) uygulamak ve kritik sistemleri yanal hareketi sınırlamak için segmentlere ayırmalıdır.
Ayrıca, bant dışı ikincil kimlik doğrulamasının uygulanması ve düzenli yapılandırma denetimlerinin uygulanması, kimlik bilgisi hırsızlığının ve daha fazla sömürü önlemeye yardımcı olabilir.
VPN altyapısı hibrit siber operasyonlar için bir odak noktası haline geldikçe, bu gelişen tehditlere karşı korunmak için proaktif önlemler çok önemlidir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.