15.474 Fortinet cihazının tarihli konfigürasyon verileri ve sanal özel ağ (VPN) kimlik bilgileri, Dark Web’de ücretsiz olarak yayınlandı.
14 Ocak’ta Fortinet, FortiOS işletim sisteminde ve FortiProxy Web ağ geçidinde ciddi bir kimlik doğrulama atlama güvenlik açığı olduğunu açıkladı. CVE-2024-55591. Böyle bir güvenlik açığının sonuçlarının nasıl görünebileceğine dair bir model için Ekim 2022’de ortaya çıkan ve bugün hâlâ ses getiren paralel bir hataya bakmak yeterli.
O zamanlar Fortinet, şu konuyla ilgili acil bir güvenlik uyarısı yayınladı: CVE-2022-40684FortiOS, FortiProxy ve otolojik FortiSwitchManager’ı etkileyen eşdeğer bir kimlik doğrulama atlama güvenlik açığı. Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) “kritik” 9,8 derecesi alarak, kimliği doğrulanmamış herhangi bir saldırganın, özel hazırlanmış HTTP istekleri aracılığıyla savunmasız cihazlarda yönetim işlemleri gerçekleştirmesine olanak tanıdı. Bu açıklamanın ardından güvenlik araştırmacıları, savunmasız cihazları taramak için bir şablon olan bir kavram kanıtlama (PoC) istismarı geliştirdi ve şunları izledi: sömürü girişimleri tırmandı ve tırmandı.
Bu hafta CVE-2024-55591’in açıklandığı gün, “Belsen Group” takma adlı bir tehdit aktörü 15.000’den fazla Fortinet cihazına ait verileri yayınladı. Bunu tespit eden CloudSEK araştırmacıları, bir blog yazısında, verilerin CVE-2022-40684 sayesinde çalındığını değerlendirdi; bu, muhtemelen hatanın hala sıfır gün olduğu bir zamandaydı. Şimdi şöyle yazdılar: “Bu kullanımı kendileri için tükettikten sonra (erişimi satarak veya kullanarak), tehdit aktörü/aktörleri bunu sızdırmaya karar verdi 2025’te.”
Belsen Grubunun Kökenlerine İlişkin Olası İpuçları
Belsen Grubu, siber suç sitesi BreachForums’a yazdığı gönderide “2025 dünya için şanslı bir yıl olacak” diye yazdı (verilerinin iki yıldan uzun bir süre önce toplandığını rahatlıkla atlayarak). Soğan web sitesine bıraktığı 1,6 GB’lık dosyaya ücretsiz olarak erişilebiliyor ve klasörler halinde önce ülkeye, ardından IP adresine ve güvenlik duvarı bağlantı noktası numarasına göre düzenli bir şekilde düzenleniyor.
Etkilenen cihazların her kıtaya yayılmış olduğu görülüyor; en yüksek yoğunluk Belçika, Polonya, ABD ve Birleşik Krallık’ta olup her birinde 20’den fazla kurban bulunuyor.
Öte yandan, güvenlik araştırmacısı Kevin Beaumont (aka GossiTheDog), bir blog yazısında Fortinet’in var olduğu her ülkenin verilerde temsil edilenbiri hariç: İran, Shodan’ın bugün bu ülkede yaklaşık 2.000 erişilebilir Fortinet cihazı göstermesine rağmen. Dahası, Rusya’nın tamamında etkilenen tek bir cihaz var ve teknik olarak o da Ukrayna’nın ilhak ettiği Kırım bölgesinde.
Bu veri noktaları önemsiz olabilir veya Belsen Grubunun atfedilmesine yönelik ipuçları içerebilir. Bu ay ortaya çıkmış gibi görünüyor, ancak CloudSEK “yüksek bir güvenle” bunun en az üç yıldır ortalıkta olduğu sonucuna vardı ve “Muhtemelen 2022’de sıfır günü istismar eden bir tehdit grubunun parçasıydılar. Bağlantılar henüz kurulmadı.”
Siber Risk Nedir?
Sızan listeler iki tür klasör içeriyor. İlki olan “config.conf”, etkilenen cihaz yapılandırmalarını içerir: IP adresleri, kullanıcı adları ve şifreler, cihaz yönetimi sertifikaları ve etkilenen kuruluşun tüm güvenlik duvarı kuralları. Bu veriler CVE-2022-40684 aracılığıyla çalındı. Diğer klasörde, “vpn-password.txt”, SSL-VPN kimlik bilgileridir. Fortinet’e göre bu kimlik bilgileri, daha da eski bir yol geçiş güvenlik açığı aracılığıyla cihazlardan elde ediliyordu. CVE-2018-13379.
Her ne kadar veriler artık oldukça eski olsa da Beaumont şunları yazdı: “Tüm güvenlik duvarı kurallarını içeren tam bir cihaz yapılandırmasına sahip olmak… çok fazla bilgi demektir.” CloudSEK de sızdırılan güvenlik duvarı yapılandırmalarının, kuruluşların iç ağ yapıları hakkında bugün hala geçerli olabilecek bilgileri ortaya çıkarabileceği riskini belirtti.
Kuruluşlar ayrıca kullanıcı adlarını ve şifreleri sıklıkla devre dışı bırakmaz, bu da eskilerinin sorun yaratmaya devam etmesine neden olur. Dökümde yer alan bir cihazı inceleyen Beaumont, eski kimlik doğrulamalarının halen kullanımda olanlarla eşleştiğini bildirdi.
Fortinet ise endişeleri gidermeye çalıştı. güvenlik analizi 16 Ocak’ta yayınlandı. “Kuruluşunuz güvenlik kimlik bilgilerini düzenli olarak yenileme konusunda rutin en iyi uygulamalara tutarlı bir şekilde bağlı kaldıysa ve önceki yıllarda önerilen eylemleri gerçekleştirdiyse, tehdit aktörünün ifşa ettiği kuruluşun mevcut yapılandırmasının veya kimlik bilgileri ayrıntılarının riski küçüktür, “açıkladı.
