Dalış Kılavuzu:
Shadowserver Temel bildirilmiş Cumartesi günü, dünya çapında 14.000’den fazla Fortinet cihazının bir tehdit oyuncusu tarafından tehlikeye atıldığı Bilinen güvenlik açıklarından sömürülen ve Symlink tabanlı bir kalıcılık mekanizması kullandı.
İçinde A Blog yazısı Geçen hafta Fortinet, bir tehdit oyuncunun daha eski eleştirel güvenlik açıklarını kullandığı konusunda uyardı. CVE-2022-42475– CVE-2023-27997 Ve CVE-2024-21762Cihazlar kalıcılık mekanizması ile yamalandıktan sonra Fortigate cihazlarına erişmek ve salt okunur erişimi korumak için.
Fortinet, bu eski güvenlik açıklarını yamalayan müşteri kuruluşlarının, SymLink değişiklikleri satıcının tespitlerinden kaçtığı ve güncellemelerden sonra devam ettiği için hala tehlikeye atılabileceği konusunda uyardı. Bir Symlink veya Sembolik Bir Bağlantı, temel olarak bir dosyanın kısayolunudur.
Dalış içgörü:
Shadowserver’s Son Taramalar Avrupa ve Kuzey Amerika’da sırasıyla yaklaşık 3.500 ve 2.600 ile Asya’da yaklaşık 7.000 uzlaşmış Fortinet cihazını gösterdi. En çok tehlikeye atılan cihazlara sahip ülkeler ABD, Japonya, Tayvan ve Çin
Blog yazısında Ciso Carl Windsor, SymLink mekanizmasının cihazların kullanıcı dosya sistemlerine implante edildiğini ve “cihaz yapılandırmalarını içerebilecek” dosyalara salt okunur erişim sağladığını söyledi. Ağ güvenlik satıcısı, SSL-VPN’leri hiç etkinleştirmeyen müşterilerin tehdit faaliyetinden etkilenmediğini belirtti.
Cuma günü yapılan bir danışmanlıkta, Yeni Zelanda’nın Bilgisayar Acil Müdahale Ekibi (CERT NZ), tehdit faaliyetinin 2023’e kadar uzanan Fortinet güvenlik açıklarının “yaygın olarak sömürülmesini” içeren. Cert-NZ’nin SymLink mekanizmasının Fortinet cihazlarındaki son derece hassas verilere erişim vermiş olabileceği konusunda uyardı.
Diyerek şöyle devam etti: “Uzlaşma, aktörün kimlik bilgileri ve anahtar materyal dahil olmak üzere uzlaşmış cihazlardan hassas dosyalara erişmesine izin vermiş olabilir.” . Cert-NZ Danışmanlığı söz konusu.
Diğer devlet kurumları Fortinet tehdidi faaliyeti ile ilgili uyarılar da yayınladı. Fransa’nın bilgisayar acil müdahale ekibi, yeni kovma sonrası tekniğinin ülkedeki geniş çaplı saldırılarda kullanıldığını söyledi. Ajans, “CERT-FR, Fransa’da çok sayıda uzlaşmış cihaz içeren büyük bir kampanyanın farkında. Olay müdahalesi operasyonları sırasında CERT-FR, 2023’ün başından beri meydana gelen uzlaşmaları öğrendi.” Dedi. içinde Danışmanlığı.
Windsor, blog yazısında Fortinet’in tehdit faaliyetinden etkilenen müşterilerle doğrudan iletişim kurduğunu söyledi. Fortinet, SymLink’i cihazların dosya sistemlerinden algılayabilen ve kaldırabilen güncellemeler ve hafifletmeler yayınladı ve yeniden konuşlandırılmalarını engelledi.
Bununla birlikte, CERT-FR, güncellemelerin uygulanmasının ve kötü amaçlı sembolü kaldırmanın “uzlaşma durumunda yeterli olmadığını” vurguladı. Ajans, bu tür müşterileri tehlikeye atılmış cihazları ağlarından izole etmeye ve kötü niyetli etkinliği araştırmak için bir “veri dondurması” gerçekleştirmeye çağırdı; Etkilenen cihazlardaki parolalar ve sertifikalar gibi tüm sırları sıfırlayın; ve tehlikeye atılmış cihazlardan iletilmiş olabilecek tüm kimlik doğrulama sırlarını sıfırlayın.
Siber güvenlik dalışı yorum için Fortinet ile temasa geçti, ancak şirket yanıt vermedi.