Satıcının Ekim ayında FortiOS, FortiProxy ve FortiSwitch Manager teknolojilerinin birden çok sürümünde ifşa ettiği kritik bir kimlik doğrulama baypas güvenlik açığını henüz düzeltmemiş olan Fortinet müşterilerinin artık bunu hızlı bir şekilde yapmak için ek bir nedenleri var.
Bir Rus Karanlık Web forumunda faaliyet gösteren en az bir tehdit aktörü, güvenlik açığı yoluyla ele geçirilen birden fazla ağa erişim satmaya başladı (CVE-2022-40684) ve yakında daha fazlası da aynı şeyi yapabilir. Tehdit faaliyetini tespit eden Cyble araştırmacıları, kurban kuruluşların büyük ihtimalle FortiOS’un yamalı ve eski sürümlerini kullandığını açıkladı.
Tehlike Altındaki Ağlara Erişim Satışı
Cyble’da kötü amaçlı yazılım ve araştırma istihbaratı kıdemli direktörü Dhanalakshmi PK, şirketin mevcut istihbaratının, tehdit aktörünün güvenlik açığı aracılığıyla beş büyük kuruluşa erişimi olabileceğini gösterdiğini söylüyor. Cyble’ın analizi, saldırganın güvenliği ihlal edilmiş sistemlerde yönetici kullanıcının hesabına kendi genel anahtarını eklemeye çalıştığını gösterdi.
Dhanalakshmi, “Bir saldırgan, bir sistemdeki hedeflenen bir hesaba geçerli bir genel SSH anahtarını güncelleyebilir veya ekleyebilir ve ardından genellikle bu sisteme tam erişim sağlayabilir.” “Ayrıca, tehdit aktörü, bu güvenlik açığından yararlanarak elde ettiği dayanak noktası ve bilgi birikimiyle BT ortamının geri kalanına karşı başka saldırılar başlatabilir.”
Cyble yaptığı bir taramayı söyledi 100.000’den fazla gösterdi İnternete maruz kalan FortiGate güvenlik duvarları, güvenlik açığına karşı yamalı kaldıkları için önemli sayıda istismar edilebilir.
Fortinet kamuya açıklanmış CVE-2022-40684 10 Ekim’de, etkilenen ürünleri tehdit hakkında müşterilere özel olarak bildirdikten birkaç gün sonra. Güvenlik açığı, esas olarak, kimliği doğrulanmamış bir saldırgana, etkilenen bir Fortinet ürününe özel hazırlanmış HTTP ve HTTPS istekleri göndererek tam denetimini ele geçirmesi için bir yol sağlar. Güvenlik araştırmacıları, bir saldırganın tek yapması gereken, savunmasız bir sistemin yönetim arayüzüne erişim elde etmek olduğundan, güvenlik açığını bulması kolay ve istismar etmesi önemsiz olarak tanımladılar.
Saldırganlar için Popüler Hedef
Fortinet güvenlik açığını açıkladığında, müşterilerini etkilenen ürünlerin yamalı sürümlerine hemen güncelleme yapmaları konusunda uyardı ve kusuru hedefleyen aktif istismar faaliyetleri konusunda uyarıda bulundu. Ayrıca, güncelleme yapamayan şirketlere savunmasız İnternet’e yönelik Fortinet ürünlerinde HTTPS yönetimini derhal devre dışı bırakma çağrısında bulundu. ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA), açıktan yararlanılan bilinen güvenlik açıkları kataloğunu derhal listeledi ve federal sivil kurumlara sorunu çözmeleri için 1 Kasım 2022’ye kadar süre verdi.
Endişelerin çoğu Fortinet ürünlerinin ve aynı ağ ucu kategorisindeki diğer sağlayıcıların teknolojilerinin tehdit aktörleri arasındaki popülaritesinden kaynaklanıyordu. Fortinet’in kusuru ifşa etmesinden kısa bir süre sonra, açıktan yararlanmaya yönelik kavram kanıtı kodu halka açık hale geldi ve güvenlik sağlayıcıları, kusuru hedefleyen büyük ölçekli tarama faaliyeti bildirdi. Güvenlik açığını hedefleyen benzersiz IP adreslerinin sayısı birkaç gün içinde tek haneli rakamlardan 40’ın üzerine çıktı.
Ve bu sayı arttı. Bu güvenlik açığıyla ilgili ilk araştırmaların çoğunu yapan bir güvenlik satıcısı olan Horizon3ai’nin istismar geliştiricisi James Horseman, kötü amaçlı tarama etkinliğini izleyen GreyNoise’tan alınan verilere göre, şu anda Fortinet kusurunu hedefleyen benzersiz IP’lerin sayısının 112’ye yükseldiğini söylüyor. internet.
Horizon3ai’nin baş saldırı mühendisi Zach Hanley, “Bu Fortinet cihazları genellikle şirketler için İnternet’e yöneliktir ve nadiren izlenir” diye ekliyor. “Bu kombinasyon, keşif yapmak, fidye yazılımı dağıtmak, veri çalmak vb. isteyen tehdit aktörleri için bir ağa sürekli ilk erişim sağlamak için onu harika kılıyor.”
Tehdit aktörleri, aynı nedenden dolayı diğer Fortinet kusurlarında da benzer şekilde uğraştılar. Önemli örnekler şunları içerir: CVE-2018-13379, CVE-2020-12812, ve CVE-2019-5591üç kusurdan oluşan bir dizi İran destekli tehdit grupları çok sayıda saldırıda istismar edildiği gözlemlendi. Nisan 2021’de FBI ve CISA, ABD ve başka yerlerdeki kuruluşlara yönelik saldırılarda aynı kusurları kullanan diğer gelişmiş kalıcı tehdit grupları konusunda uyarıda bulundu.
.
