Fortinet, siber saldırganların FortiGate cihazlarına sızmak için kullandıkları güvenlik açıkları kapatılsa bile, sistemde kalıcı olarak erişim sağlayabildiklerini açıkladı.

Şirketin geçtiğimiz Perşembe günü yayınladığı güvenlik duyurusuna göre, tehdit aktörleri daha önce bilinen ve şu an düzeltilmiş güvenlik açıklarından faydalandı. Bunlar, CV-202475, CV-2023-27997 ve CV-2024-2176 gibi önemli zayıflıkları içerir.

“Bir tehdit aktörü, bilinen bir açığı kullanarak, savunmasız FortiGate cihazlarına salt-okuma yetkisine sahip bir erişim elde etti,” diyor Fortinet.
“Bu, SSL-VPN Wolder Service Fold’daki zengin Man dosyası ile damar dosyasının kökleri arasındaki sembolik iletişim ile yapıldı.”

Sistem üzerinde yapılan bu düzenleme, kullanıcı dosya sisteminde gerçekleştiği için çoğu zaman güvenlik kontrollerinden kaçabildi. Bu da, güvenlik açıkları kapatılsa dahi sembolik bağlantının cihazda kalmasına neden oldu.

Bu yöntem sayesinde saldırganlar, sistemin çekirdek dosyalarına ve özellikle yapılandırma ayarlarına sınırlı da olsa erişim sağlayarak içeriden bilgi toplama kabiliyeti elde etti. SSL-VPN özelliğini hiç aktif etmemiş olan kullanıcıların ise bu açıklardan etkilenmediği belirtildi.

Saldırı dışındaki insanlar veya gruplar yarışta iyi bulunamadı, ancak Fortint bu çalışmanın ulusal veya belirli bir parçası olmadığını ve etkilenen müşteriyi bilgilendirdiğini söyledi.

Fortinet’ten Güvenlik Güncellemeleri

Bu gibi durumların tekrar yaşanmaması için Fortinet, FortiOS işletim sistemine yönelik çeşitli güvenlik önlemleri ve güncellemeler duyurdu:

• FortiOS 7.4, 7.2, 7.0 ve 6.4 sürümleri: Zararlı olduğu belirlenen sembolik bağlantılar antivirüs motoru tarafından otomatik olarak tespit edilip silinecek.
• 7.6.2, 7.4.7, 7.2.11, 7.0.17 ve 6.4.16 Çeviri: Sembolik bağlantı sistemden tamamen kaldırıldı ve bu teması yeniden inşa etmek için SSL-VVPN iletişimi yenilendi.

Kullanıcıların, cihazlarını belirtilen sürümlere güncellemeleri, yapılandırmaları detaylı şekilde incelemeleri ve tüm ayarları riskli kabul ederek uygun iyileştirme adımlarını atmaları tavsiye ediliyor.

CISA ve CERT-FR’den Kritik Uyarılar

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), konuyla ilgili yaptığı açıklamada, kullanıcıların sistemde kullanılmış tüm kimlik bilgilerini değiştirmelerini ve yamalar uygulanana kadar SSL-VPN özelliğini devre dışı bırakmalarını önerdi.

Fransa’nın Bilgisayar Acil Müdahale Ekibi (CERT-FR) ise, benzer saldırıların aslında 2023 yılı başlarından bu yana tespit edildiğini ve bazı sistemlerin o zamandan beri sessizce tehlikede olabileceğini belirtti.

Uzman Yorumu: “Saldırganlar Yalnızca Açıkları Değil, Süreçleri de Kullanıyor”

watchTowr CEO’su Benjamin Harris, The Hacker News’e yaptığı açıklamada, bu olayın siber güvenlik açısından iki büyük tehdit ortaya koyduğunu belirtti:

“Birincisi, gerçek dünyadaki saldırılar artık firmaların yama süreçlerinden çok daha hızlı ilerliyor. Bu farkı bilen saldırılar hızlı bir faaliyetten yararlanır. “
“İkincisi ve belki de daha ürkütücü olanı, saldırganların sadece açıklardan faydalanmakla kalmayıp, sistemlerde kalıcı olmak adına, yama, güncelleme hatta fabrika ayarlarına döndürme gibi klasik savunma yöntemlerini bile aşabilecek arka kapılar yerleştirmeleri.”

Harris, bu tür kalıcı erişim mekanizmalarının watchTowr’un birçok müşterisinde tespit edildiğini ve özellikle altyapı açısından kritik öneme sahip kurumların bu saldırılardan etkilendiğini vurguladı.