Bilinmeyen bir tehdit aktörü, çeşitli sektörlerdeki Fortinet cihazlarını toplu halde ele geçirdi ve bundan sonra ne yapmayı planladıklarına dair hiçbir belirti bırakmadı.
Kampanya, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen İstismara Uğrayan Güvenlik Açığı (KEV) kataloğuna yeni eklediği kritik bir güvenlik açığı olan CVE-2024-47575 tarafından etkinleştirildi. Etkiler Fortinet’in FortiManager aracıKuruluşların tüm Fortinet marka güvenlik duvarlarını, erişim noktalarını, uygulama dağıtım denetleyicilerini (ADC’ler) ve e-posta ağ geçitlerini yönetebilecekleri tek, merkezi konsol. Tek bir FortiManager arayüzünden 100.000’e kadar cihazın yönetilebilmesi, onu BT yönetimi için etkili bir araç ve siber saldırılar için muhteşem bir başlangıç noktası haline getiriyor.
Mandiant’a göre, UNC5820’nin şu anda takip ettiği bir tehdit aktörü, uzlaşma sağlamak için CVE-2024-47575’i kullandı 50’den fazla FortiManager örneği. Bunu yapmak, söz konusu FortiManager örneklerine bağlı çeşitli cihazlar hakkındaki bilgileri çekmelerine olanak tanıdı ve bu, sonraki saldırılarda yararlı olabilir. Ancak şu ana kadar herhangi bir kötü niyetli takip faaliyeti gözlemlenmedi.
FortiManager’da Kritik Bir Güvenlik Açığı
CVE-2024-47575, FortiManager ile yönettiği çeşitli Fortinet cihazları arasındaki iletişimi kolaylaştıran “kritik bir işlev” olan fgfmd arka plan programındaki eksik kimlik doğrulamasından kaynaklanıyor. Uzaktaki, kimliği doğrulanmamış bir saldırgan, özel hazırlanmış istekleri kullanarak bu eksik kimlik doğrulamadan yararlanarak şunları yapabilir: isteğe bağlı kod veya komutları yürütmek hedeflenen bir cihazda. Savunmasız arka plan programının merkeziliği, böyle bir saldırının ciddi etkisiyle birleştiğinde, Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) göre CVE-2024-47575’e 10 üzerinden “kritik” bir 9,8 puan kazandırdı.
BlueVoyant’ın proaktif hizmetlerden sorumlu kıdemli yöneticisi T. Frank Downs, “Saldırganın uzaktan erişim elde etmesi için kurbanın çok az işlem yapması veya hiçbir işlem yapması gerekmediğinden, bu tür açıklardan yararlanmalar saldırganlar tarafından en çok imrenilenlerden bazılarıdır” diyor. Büyük ölçekli istismar, diğer yönetilen cihazlara yatay geçişe olanak tanıyarak yaygın ağ kesintisine ve veri ihlallerine yol açabilir. Bu eylemler, saldırganların FortiManager cihazlarından konfigürasyonlar ve kimlik bilgileri de dahil olmak üzere hassas verileri sızdırmasına olanak tanıyabilir.”
Tanımlanamayan tehdit aktörü UNC5820, CVE-2024-47575 ile neler yapılabileceğini zaten yarıya kadar gösterdi. 27 Haziran’dan itibaren UNC5820, Japonya’daki bir IP adresinden birden fazla Fortinet cihazına bağlandı. Hızla bir dizi önemli dosya bir arşiv dosyasına sıkıştırıldı. Bunlar arasında hedeflenen FortiManager’ın yapısı, sürümü ve dal verileri, yönettiği FortiGate cihazlarının yapılandırma dosyaları, hashlenmiş şifreler ve daha fazlası yer alıyordu.
Araştırmacılar, Eylül ayında saldırganın kendi yetkisiz Fortinet cihazını hedeflenen FortiManager konsoluna kaydetmeyi başardığı başka bir istismar girişimini tespit etti.
Teorik olarak, tüm bu veriler hedefin ortamını tanımak ve ortalama bir takip saldırısına zemin hazırlamak için yararlı olabilirdi. Downs, “Saldırganların uzaktan kod yürütmesine ve kimlik doğrulaması olmadan hassas verilere erişmesine olanak tanıdığından, veri ihlallerine, ağ kesintilerine ve kritik sistemlere yetkisiz erişime yol açtığından, bu güvenlik açığından kaynaklanan potansiyel hasar önemlidir” diyor. Ancak Mandiant bugüne kadar bu tür saldırılara dair bir kanıt gözlemlemedi.
Şimdi Ne Yapmalı
İlk etapta CVE-2024-47575’ten yararlanmak için UNC5820, bir kuruluşun FortiManager cihazına ulaşmak için bazı yöntemlere ihtiyaç duyacaktı. Bu nedenle, yalnızca İnternet’e maruz kalanların hedef alınması muhtemeldir.
Mandiant, yönetim konsolları açıkta olan kuruluşlar için acil, kapsamlı adli soruşturmaların yapılmasını ve yalnızca bilinen cihazların ve IP’lerin FortiManager’a erişmesine izin verilmesini önerir. Fortinet’in FortiGuard Labs’ı da şunu yayınladı: iyileştirme için daha fazla öneri En son yazılıma yükseltmenin mümkün olmadığı durumlar için geçici çözümler de dahil olmak üzere bloguna.
Dark Reading’in yorum talebine yanıt olarak Fortinet şu açıklamayı yaptı:
“Bu güvenlik açığının (CVE-2024-47575) belirlenmesinin ardından Fortinet, kritik bilgileri ve kaynakları anında müşterilere iletti. Bu, bir tavsiye niteliğindeki bilginin kamuya açıklanması öncesinde müşterilerin güvenlik duruşlarını güçlendirmelerine olanak tanıyan sorumlu açıklama süreçlerimiz ve en iyi uygulamalarımızla uyumludur. Tehdit aktörleri de dahil olmak üzere daha geniş bir kitleye sunuldu. Ayrıca, geçici çözüm ve yama güncellemeleri de dahil olmak üzere, hafifletme kılavuzunu yineleyen ilgili bir kamu danışma belgesi (FG-IR-24-423) yayınladık. Devam eden yanıtımızın bir parçası olarak uygun uluslararası devlet kurumları ve sektörel tehdit kuruluşlarıyla koordinasyon sağlamaya devam ediyoruz.”
