Fortinet cihazlarındaki zayıflıkları nasıl kötüye kullanıyorlar?
Bu saldırganların hedefi kim?
SSL-VPN ile ilgili özellikler nasıl etkileniyor?
Kullanıcılar ne yapmalıdır?
Gelecek için ne tür önlemler alınmalı?
Fortinet cihazlarındaki zayıflıkları nasıl kötüye kullanıyorlar?
Fortinet, belirttiği bir güvenlik duyurusunda, saldırganların bilinmeyen bir yöntemle, FortiGate cihazlarına okuma-yetkisi sınırlı erişim sağladıklarını açıkladı. Bu erişim, ilk saldırı vektörleri kapatıldıktan sonra bile sürdürülebiliyor. Saldırganların, CVE-2022-42475, CVE-2023-27997 ve CVE-2024-21762 gibi daha önce bilinen ve şimdi yamalanmış güvenlik açıklarını kullanarak bu erişimi sağladığı düşünülüyor.
Özellikle, saldırganların SSL-VPN ile ilgili dosyalar sunmak için kullanılan bir klasörde kullanıcı dosya sistemi ve kök dosya sistemi arasında bir sembolik bağlantı oluşturarak bu durumu başardığı belirtiliyor. Bu sembolik bağlantı, güvenlik açıkları onarıldıktan sonra bile ortada kalmış ve böylece saldırganlar, hedef cihazlardaki dosyalara, konfigürasyonlara erişim sağlayabilmiş.
Bu saldırganların hedefi kim?
Fortinet’in yaptığı analiz, saldırganların belirli bir bölge veya sektöre yönelik olmadığını gösteriyor. Yani, saldırılar geniş bir yelpazede yapılmakta ve belirli bir hedef kitlesi bulunmamakta. Fortinet, etkilenen müşterilerine bireysel olarak bilgi vermiştir, ancak genel bir hedef kitlesi olmadığı için herhangi bir sektör ya da coğrafik alan konusunda net bir bilgi sunulamıyor.
Saldırganların kimliğine dair kesin bir bilgi bulunmamakla beraber, tehdit aktörlerinin hızlı bir şekilde zafiyetlerden yararlanması ve kurbanları kalıcı olarak etkisi altında tutma konusunda bilgili oldukları anlaşılıyor. Halihazırda, bu tür siber saldırılar hız kazandıkça, birçok kuruluşun bu sürece yanıt verirken zorlandığı gözlemleniyor.
SSL-VPN ile ilgili özellikler nasıl etkileniyor?
Etki alanı açısından, Fortinet’in bildirdiğine göre, SSL-VPN özelliği kullanmayan kullanıcılar bu konuda etkilenmiyor. Ancak, SSL-VPN kullanımı olan sistemlerde, tehdit aktörleri okuma-yetkisi ile dosyalara erişim sağladıklarından, potansiyel bir risk söz konusu. Bu tür bir erişim, cihazların güvenliğini tehlikeye sokabilir ve kullanıcıların verilerinin izinsiz erişime açılmasına neden olabilir.
Fortinet, mevcut tehditleri azaltmak amacıyla çeşitli yazılım güncellemeleri gerçekleştirdi. Bu güncellemeler, sembolik bağlantların kötü amaçlı olduğunu tespit ederek antivirus motorları tarafından otomatik olarak kaldırılmasını sağlıyor. SSL-VPN interfazının da saldırganların kullanabileceği bu tür bağlantıları oluşturmasını engelleyecek şekilde değiştirildiği belirtiliyor.
Kullanıcılar ne yapmalıdır?
Fortinet, kullanıcılarına FortiOS’un en güncel sürümlerine (7.6.2, 7.4.7, 7.2.11 & 7.0.17 veya 6.4.16) geçmeleri ve cihazlarının konfigürasyonlarını gözden geçirmeleri tavsiyesinde bulundu. Kullanıcılar, konfigürasyonların potansiyel olarak tehlikeye atılmış olabileceğinden, bu ayarların dikkatli bir şekilde ele alınması gerektiğini anlamalıdır.
Ayrıca, kullanıcıların cihazlarını güvenli hale getirmek için uygun kurtarma adımlarını gerçekleştirmeleri önerilmektedir. Ek olarak, CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), maruz kalmış kimlik bilgilerini sıfırlamaları ve tam yamanın uygulanabileceği süre zarfında SSL-VPN özelliklerini devre dışı bırakmalarını önermektedir.
Gelecek için ne tür önlemler alınmalı?
Uzmanlar, bu tür saldırılara karşı alınacak önlemler konusunda bir dizi öneri sunuyor. İlk olarak, organizasyonların, güncellemeleri hızlı bir şekilde uygulamaları ve zafiyetleri gidermeleri gerekmektedir. Bu, saldırganların hızlı bir şekilde yararlanma süresini azaltacaktır.
İkinci olarak, şirketlerin, sistemlerinin güvenliğini sürekli olarak izlemeleri ve potansiyel tehditleri mümkün olan en kısa sürede tespit etmeleri kritik bir öneme sahiptir. Gelişen siber tehditler karşısında, kuruluşların proaktif bir güvenlik stratejisi belirlemeleri önemlidir. Ayrıca, çalışanlarına siber güvenlik konusunda eğitimler vermeleri ve bilinçlendirme programları düzenlemeleri, ihlalleri önlemek adına yardımcı olacaktır.
Sonuç olaraq, tehdit aktörleri, gelişmiş ve kalıcı erişim yöntemleri kullanarak kuruluşları hedef alıyor. Bu nedenle, kurumların kendilerini korumak adına alacakları her türlü önlem, gelecekte olası tehditlere karşı daha dayanıklı olmalarını sağlayacaktır.
