Mart ayı başlarında, bir müşteri, birden fazla FortiGate güvenlik cihazı çalışmayı durdurduğunda ve bellenim kendi kendine bütünlük testinde başarısız olduktan sonra bir hata moduna girdiğinde Fortinet’in olay müdahale ekibini aradı.
Bu bir siber saldırıydı ve Fortinet cihazlarında orta düzeyde önem taşıyan ancak yüksek oranda istismar edilebilir bir hata olan en son güvenlik açığının keşfedilmesine yol açtı (CVE-2022-41328) ayrıcalıklı bir saldırganın dosyaları okumasına ve yazmasına olanak tanır. Fortinet’in “gelişmiş aktör” olarak etiketlediği tehdit grubunun, devlet kurumlarını veya devletle ilgili kuruluşları hedef aldığı ortaya çıktı. saldırının son analizi.
Ancak olay, saldırganların Fortinet cihazlarına büyük önem verdiğini de gösteriyor. Ve saldırı yüzeyi geniş: Bu yıl şu ana kadar, Fortinet ürünlerindeki 60 güvenlik açığına CVE atandı ve Ulusal Güvenlik Açığı Veritabanında yayınlandı, bir önceki zirve yılı olan 2021’de Fortinet cihazlarında ifşa edilen kusur oranını iki katına çıkardı. Çok sayıda kritik de var: Bu ayın başlarında Fortinet, FortiOS ve FortiProxy’de kritik bir arabellek koruma açığı olduğunu ortaya çıkardı (CVE-2023-25610), kimliği doğrulanmamış uzak bir saldırganın çeşitli cihazlarda herhangi bir kod çalıştırmasına izin verebilir.
İlgi de yüksek. Örneğin Kasım ayında bir güvenlik firması, bir siber suçlu grubunun bir Rus Dark Web forumunda güvenliği ihlal edilmiş FortiOS cihazlarına erişim sattığı konusunda uyarıda bulundu. Ancak bir güvenlik eğitim firması olan Cybrary’de tehdit istihbaratı kıdemli direktörü David Maynor, güvenlik açıklarının dikkatleri üzerine çekip çekmediğinin tartışmalı olduğunu söylüyor.
“Saldırganlar suda kan kokusu alıyor” diyor. “Son iki yılda uzaktan yararlanılabilen güvenlik açıklarının sayısı ve sıklığı baş döndürücü bir hızla arttı. Fortinet açıklarını entegre etmeyen bir ulus-devlet grubu varsa, işini aksatıyorlar.”
Tehdit istihbaratı firması GreyNoise Research’ün araştırma ekibi, diğer ağ güvenlik cihazları gibi, Fortinet cihazlarının da İnternet ile dahili ağlar veya uygulamalar arasındaki kritik noktada yer alarak onları kurumsal ağlara girmek isteyen saldırganlar için değerli bir uzlaşma hedefi haline getirdiğini söyledi. Dark Reading ile e-posta röportajı.
Ekip, “Fortinet cihazlarının büyük bir çoğunluğu uç cihazlardır ve sonuç olarak genellikle İnternet’e dönüktür” dedi. “Bu, tüm uç cihazlar için geçerlidir. Bir saldırgan, bir istismar kampanyasının çabalarından geçecekse, uç cihazların hacmi[s] değerli bir hedef için.”
Araştırmacılar ayrıca Fortinet’in saldırganların hedefinde muhtemelen yalnız olmadığı konusunda da uyardı.
GreyNoise Research, “Herhangi bir satıcının tüm uç cihazları er ya da geç güvenlik açıklarına sahip olacaktır.” Dedi.
Fortinet Saldırısı Ayrıntılı
Fortinet, danışma belgesinde müşterilerinin cihazlarına yapılan saldırıyı biraz ayrıntılı olarak anlattı. Saldırganlar, güvenlik açığını cihazın sabit yazılımını değiştirmek ve yeni bir ürün yazılımı dosyası eklemek için kullanmıştı. Saldırganlar, FortiManager yazılımı aracılığıyla FortiGate cihazlarına erişim sağladı ve kalıcılığı sürdürmek için cihazların başlangıç komut dosyasını değiştirdi.
Fortinet’in belirttiğine göre, kötü amaçlı ürün yazılımı, yazılımın komut ve kontrol (C2) sunucusundan aldığı komuta bağlı olarak veri hırsızlığına, dosyaların okunmasına ve yazılmasına izin vermiş veya saldırgana uzak bir kabuk vermiş olabilir. Yarım düzineden fazla başka dosya da değiştirildi.
Ancak olay analizi, diğer ayrıntıların yanı sıra saldırganların FortiManager yazılımına nasıl ayrıcalıklı erişim elde ettikleri ve saldırı tarihi gibi bazı kritik bilgilerden yoksundu.
Temasa geçildiğinde, şirket bir röportaj talebine yanıt olarak bir açıklama yayınladı: “Yayınladık bir PSIRT tavsiyesi (FG-IR-22-369) 7 Mart’ta ayrıntıların CVE-2022-41328 ile ilgili sonraki adımları önerdiğini bildirdik.” 9 Mart blog gönderisi ve müşterilere sağlanan rehberliği takip etmelerini tavsiye etmeye devam edin.”
GreyNoise Araştırma ekibi Dark Reading’e, Fortinet’in genel olarak, güvenlik açığını bulup ifşa ederek ve olaya verdikleri yanıtın bir analizini yayınlayarak doğru şeyler yaptığını söyledi.
“İki gün sonra, bir yönetici özetinin yanı sıra çok büyük bir rapor da dahil olmak üzere ayrıntılı bir analiz yayınladılar. [number] güvenlik açığının doğası ve saldırganın etkinliği hakkında doğru ayrıntıların [with] eyleme geçirilebilir istihbarat,” dedi ekip. “Fortinet bu güvenlik açığı hakkında açık, zamanında ve doğru bir şekilde iletişim kurmayı seçti.”