Perşembe, Ocak 26, 2023
spot_img
Ana SayfaTeknoloji HaberleriFortinet, bilgisayar korsanlarının VPN müşterilerini etkilemek için kritik güvenlik açığından yararlandığını söylüyor

Fortinet, bilgisayar korsanlarının VPN müşterilerini etkilemek için kritik güvenlik açığından yararlandığını söylüyor

Fortinet

Fortinet’in Çarşamba günü yayınladığı otopsi raporunda, bilinmeyen bir tehdit aktörünün, Fortinet’in FortiOS SSL-VPN’sindeki kritik bir güvenlik açığını devlete ve hükümetle ilgili kuruluşlara gelişmiş özel yapım kötü amaçlı yazılımlarla bulaştırmak için kötüye kullandığı belirtildi.

CVE-2022-42475 olarak izlenen güvenlik açığı, bilgisayar korsanlarının uzaktan kötü amaçlı kod yürütmesine olanak tanıyan yığın tabanlı bir arabellek taşmasıdır. Önem derecesi 10 üzerinden 9,8’dir. Bir ağ güvenlik yazılımı üreticisi olan Fortinet, 28 Kasım’da yayınlanan 7.2.3 sürümündeki güvenlik açığını giderdi ancak yayınladığı sürüm notlarında tehditten bahsetmedi. zaman.

Annemin kelimesi

Fortinet, güvenlik açığının en az bir müşterisine karşı aktif olarak istismar edildiği konusunda uyarıda bulunduğu 12 Aralık tarihine kadar güvenlik açığını açıklamadı. Şirket, müşterileri yazılımın yamalı sürümünü çalıştırdıklarından emin olmaya ve ağlarında güvenlik açığından yararlanıldığına dair işaretler için ağlarında arama yapmaya çağırdı. FortiOS SSL-VPN’ler, genel olarak hassas dahili ağları halka açık İnternet’ten koruyan sınır güvenlik duvarlarında kullanılır.

Çarşamba günü Fortinet, istismar faaliyeti ve bunun arkasındaki tehdit aktörü hakkında daha ayrıntılı bir açıklama yaptı. Ancak gönderi, güvenlik açığının Kasım ayında giderildiğinde ifşa edilememesiyle ilgili herhangi bir açıklama sağlamadı. Bir şirket sözcüsü, başarısızlık veya güvenlik açıklarının ifşa edilmesi için şirketin politikasının ne olduğu hakkında e-posta ile gönderilen soruları yanıtlamayı reddetti.

Fortinet yetkilileri Çarşamba günkü güncellemede, “İstismarın karmaşıklığı, gelişmiş bir aktöre ve yüksek oranda hükümete veya hükümetle ilgili hedeflere yönelik olduğuna işaret ediyor” diye yazdı. Devam ettirdiler:

  • İstismar, FortiOS ve temeldeki donanım hakkında derin bir anlayış gerektirir.
  • Özel implantların kullanılması, aktörün FortiOS’un çeşitli parçalarının tersine mühendislik de dahil olmak üzere gelişmiş yeteneklere sahip olduğunu gösteriyor.
  • Aktör, tercih edilen hükümet veya hükümetle ilgili hedeflere dair bazı ipuçlarıyla yüksek oranda hedeflenmiştir.
  • Saldırgana atfedilen keşfedilen Windows örneği, Avustralya, Çin, Rusya, Singapur ve diğer Doğu Asya ülkelerini içeren UTC+8 saat dilimindeki bir makinede derlenmiş eserler sergiledi.
  • Saldırganlar tarafından oluşturulan kendinden imzalı sertifikaların tümü, 03:00 ile 08:00 UTC arasında oluşturuldu. Bununla birlikte, bilgisayar korsanlarının çalışma saatleri içinde faaliyet göstermeleri gerekmediği ve faaliyetlerini genel ağ trafiğiyle gizlemeye yardımcı olmak için genellikle mağdurun çalışma saatlerinde çalışacakları göz önüne alındığında, bundan herhangi bir sonuç çıkarmak zordur.

Fortinet’in virüs bulaşmış sunuculardan birinde gerçekleştirdiği bir analiz, tehdit aktörünün güvenlik açığını FortiOS üzerinde çalışacak şekilde özelleştirilmiş Linux tabanlı bilinen bir implantın bir varyantını yüklemek için kullandığını gösterdi. İstismar sonrası kötü amaçlı yazılım, tespit edilmeden kalmak için, kurulduktan sonra belirli günlük tutma olaylarını devre dışı bıraktı. İmplant, /data/lib/libips.bak yoluna kuruldu. Dosya, /data/lib/libips.so adresinde bulunan Fortinet’in IPS Motorunun bir parçasıymış gibi davranıyor olabilir. /data/lib/libips.so dosyası da mevcuttu ancak dosya boyutu sıfırdı.

İmplantın çalışmasını taklit ettikten sonra, Fortinet araştırmacıları izinsiz giriş önleme sistemlerinde bir imza için kullanılabilecek komut ve kontrol sunucularıyla iletişiminde benzersiz bir bayt dizisi keşfettiler. “x00x0Cx08http/1.1x02h2x00x00x00x14x00x12x00x00x0Fwww.example.com” arabelleği (çıkış yapılmamış), “Müşteri Merhaba” paketinin içinde görünecektir.

Bir sunucunun hedef alındığına dair diğer işaretler, 103 dahil olmak üzere çeşitli IP adreslerine yapılan bağlantıları içerir.[.]131[.]189[.]143 ve aşağıdaki TCP oturumları:

  • 443 numaralı bağlantı noktasından FortiGate’e bağlantılar
  • /remote/login/lang=tr için istek alın
  • İsteği uzak/hataya gönder
  • Yüklere istek al
  • FortiGate’te komut yürütmek için bağlantı
  • Etkileşimli kabuk oturumu.

Otopsi, çeşitli diğer uzlaşma göstergelerini içerir. FortiOS SSL-VPN kullanan kuruluşlar bunu dikkatlice okumalı ve ağlarını hedef alındıklarına veya virüs bulaştırıldıklarına dair işaretler açısından incelemelidir.

Daha önce de belirtildiği gibi, otopsi, Fortinet’in CVE-2022-42475’i neden aktif istismara maruz kalana kadar açıklamadığını açıklamıyor. Güvenlik açığının ciddiyeti göz önüne alındığında başarısızlık özellikle şiddetlidir. Açıklamalar, kullanıcıların yamaların yüklenmesine öncelik vermesine yardımcı oldukları için çok önemlidir. Yeni bir sürüm küçük hataları düzelttiğinde, birçok kuruluş genellikle onu yüklemek için bekler. Önem derecesi 9,8 olan bir güvenlik açığını düzelttiğinde, güncelleme sürecini hızlandırma olasılıkları çok daha yüksektir.

Fortinet yetkilileri, ifşa eksikliğiyle ilgili soruları yanıtlamak yerine şu açıklamayı yaptı:

Müşterilerimizin güvenliğini taahhüt ediyoruz. Aralık 2022’de Fortinet, CVE-2022-42475 ile ilgili hafifletme kılavuzunu ayrıntılı olarak anlatan ve sonraki adımları öneren bir PSIRT danışma belgesi (FG-IR-22-398) dağıttı. Müşterileri PSIRT Danışma süreci aracılığıyla bilgilendirdik ve onlara sağlanan kılavuza uymalarını ve müşterilerimizin güvenliğine yönelik devam eden taahhüdümüzün bir parçası olarak durumu izlemeye devam etmelerini tavsiye ettik. Bugün, CVE-2022-42475 ile ilgili ek genişletilmiş araştırmayı paylaştık. Daha fazla bilgi için lütfen blogu ziyaret edin.

Şirket, saldırılarda kullanılan ek kötü amaçlı yüklerin alınamadığını söyledi.

RELATED ARTICLES

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

Popüler Konular