Fortinet cihazlarına yönelik saldırılar ne zaman başladı?
Bu saldırılarda kullanılan post-exploitation teknikleri nelerdir?
Fortinet cihazlarına gelen uyarıların içeriği neydi?
Bu durumla başa çıkmak için hangi adımlar atılmalıdır?
Cihazlarda kalıcı erişim sağlamak için kullanılan yöntemler nelerdir?
Fortinet cihazlarına yönelik saldırılar ne zaman başladı?
Fortinet, bu yılın başlarından itibaren çeşitli cihazlara yönelik ciddi bir saldırı dalgasının olduğunu doğrulamıştır. Fransız Bilgisayar Acil Müdahale Takımı (CERT-FR), bu tekniklerin 2023 yılının ilk aylarından itibaren kullanıldığını bildirmiştir. Saldırılar, birçok cihazın birden fazla kez ele geçirilmesiyle sonuçlanmış ve bu durum ciddi güvenlik açıklarına yol açmıştır. Bu tür saldırıların sürekli olarak izlenmesi ve etkilerinin değerlendirilmesi, siber güvenlik uzmanları için önemli bir öncelik olmuştur.
Bu saldırılarda kullanılan post-exploitation teknikleri nelerdir?
Saldırganlar, daha önce bilinen güvenlik açıklarını istismar ederek cihazlara sızdıklarında, önemli bir post-exploitation tekniği ile kalıcı erişim sağlamayı başarmışlardır. Fortinet’in açıklamasında, saldırganların SSL-VPN etkinleştirilmiş cihazlarda dil dosyaları klasöründe kök dosya sistemine sembolik bağlantılar oluşturdukları belirtilmiştir. Bu bağlantılar, saldırganların tespit edilip çıkarılmalarına rağmen okuma erişimlerini sürdürmelerine olanak tanımaktadır. Yani, cihaz güncellemeleri yapılmış olsa bile, kök dosya sistemine erişim sağlanabilmektedir.
Fortinet cihazlarına gelen uyarıların içeriği neydi?
Fortinet, müşterilerine gönderdiği e-postalarda, bazı FortiGate ve FortiOS cihazlarının ele geçirildiğine dair uyarılar yapmıştır. Gönderilen bu e-postalar, acil eylem gerektiren bir durumu vurgulamaktadır. E-postalarda, daha önceki bilinen güvenlik açıklarından (CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 gibi) yararlanılarak saldırıların gerçekleştirildiği belirtilmiştir. Fortinet, kullanıcıları, bu tür bir saldırının etkilerinden arınmak amacıyla FortiOS’un en son sürümlerine güncelleme yapılmasını önermektedir.
Bu durumla başa çıkmak için hangi adımlar atılmalıdır?
Fortinet, kullanıcılarına cihaz güvenliği için acil olarak bazı önlemler almalarını önermektedir. Bu önlemler arasında, FortiGuard güvenlik duvarlarının en güncel sürümlere yükseltilmesi ve cihaz konfigürasyonlarının gözden geçirilmesi yer alır. Kullanıcıların ayrıca, beklenmedik değişiklikleri tespit etmek için cihazlarının ayarlarını derinlemesine incelemeleri teşvik edilmektedir. Fortinet, ek olarak, potansiyel olarak tehlikeye maruz kalmış kimlik bilgilerini sıfırlamak için destek belgelerine yönlendirmektedir.
Cihazların korunması için alınacak bir diğer önemli önlem ise, ele geçirilmiş VPN cihazlarının ağdan izole edilmesidir. Bu, herhangi bir yayılan tehdidi durdurmak için kritik bir adımdır. CERT-FR, tüm gizli bilgilerin (şifreler, sertifikalar, kimlik belgeleri gibi) sıfırlanması ve ağ üzerinde lateral hareket kanıtlarının aranması gerektiğini de belirtmiştir.
Cihazlarda kalıcı erişim sağlamak için kullanılan yöntemler nelerdir?
Saldırganların kalıcı erişim sağlamak için kullandıkları yöntemlerden biri olan sembolik bağlantılar, hedef cihazların dosya sistemlerine zarar vermeden okuma erişimlerini sürdürmelerini mümkün kılmaktadır. Bu tür teknikler, genellikle sistem dosyalarının kök bir dosya sistemine bağlı olarak görünmesini sağlamakta ve saldırganların sistemde uzun süre kalmalarına olanak tanımaktadır.
Ayrıca, kullanıcıların güncellemeleri düzenli yapmamaları ya da yapılandırmaları kontrol etmemeleri, saldırganların kalıcı erişimi sağlamasında önemli bir rol oynamaktadır. Güvenlik açıklarının farkında olan ve bunları istismar eden saldırganlar, sistemdeki güncellemeleri atlayarak ya da cihazın beklenmedik değişikliklerine göz ardı ederek kalıcı bir varlık oluşturabilirler. Bu nedenle, cihaz kullanıcılarının dikkatli ve proaktif olmaları son derece önemlidir.
Fortinet’in yaptığı uyarılar ve öneriler, kullanıcıların güvenlik açıklarını en kısa sürede kapatmaları ve cihazlarını tehditlere karşı koruyabilmeleri için önemli bilgiler içermektedir. Siber güvenlikte sürekli güncel kalmak ve etkili önlemler almak, başarılı bir savunma stratejisi için gereklidir. Bu gibi durumlarla karşılaşıldığında, hızlı ve etkili bir yanıt vermek, olası zararları en aza indirecektir.
