Bilinmeyen saldırganlar, bu ay hükümeti hedefleyen saldırılarda ve OS ve yolsuzluk ve veri kaybına yol açan büyük kuruluşlarda yapılan saldırılarda yeni bir Fortios hatasını kötüye kullanmak için sıfır gün istismarlarını kullandılar.
Fortinet, tehdit aktörlerinin yetkisiz kod veya komutlar yürütmesine izin veren bu yüksek şiddetli güvenlik açığı (CVE-2022-41328) ele almak için 7 Mart 2023'te güvenlik güncellemelerini yayınladı.
Şirket, "Fortios'taki kısıtlı bir dizin güvenlik açığı ('yol geçiş') [CWE-22] ile uygunsuz bir sınırlandırma, ayrıcalıklı bir saldırganın hazırlanmış CLI komutları aracılığıyla keyfi dosyaları okumasına ve yazmasına izin verebilir." Diyor.
Etkilenen ürünlerin listesi Fortios sürüm 6.4.0 ila 6.4.11, Fortios sürüm 7.0.0 ila 7.0.9, Fortios sürüm 7.2.0 ila 7.2.3 ve Fortios 6.0 ve 6.2'nin tüm sürümlerini içerir.
Güvenlik kusurunu eklemek için yöneticiler, savunmasız ürünleri Fortios sürüm 6.4.12 ve daha sonraki sürüm 7.0.10 ve sonraki sürümüne veya Fortios sürüm 7.2.4 ve üstüne yükseltmek zorundadır.
Kusurun danışmanlığı, yamalar serbest bırakılmadan önce böceğin vahşi doğada kullanıldığından bahsetmese de, geçen hafta yayınlanan bir Fortinet raporu, CVE-2022-41328 istismarlarının birine ait birden fazla Fortigate güvenlik duvarı cihazını kesmek ve indirmek için kullanıldığını ortaya koydu. müşterilerinin.
Olay, "FIPS Hatası nedeniyle Sistem Hata Moduna Giriyor: Ürün Yazılımı Self-Test başarısız oldu" mesajları ve tekrar önyükleme yapamadı.
Fortinet, bunun FIPS özellikli cihazlarının sistem bileşenlerinin bütünlüğünü doğruladığı ve bir uzlaşma algılanması durumunda bir ağ ihlalini engellemek için önyüklemeyi otomatik olarak kapatacak ve durduracak şekilde yapılandırıldıkları için olduğunu söylüyor.
Bu fortigate güvenlik duvarları, hepsinin aynı taktikler kullanılarak aynı anda durduğu ve Fortigate Path Traversal Sustamsit'in FortimAnager aracılığıyla yürütülen komut dosyaları ile aynı zamanda başlatıldığı göz önüne alındığında, kurbanın ağındaki bir Fortimanager cihazı aracılığıyla ihlal edildi.
Sonraki araştırma, saldırganların önyükleme işlemi başlamadan önce bir yük (/bin/fgfm) başlatmak için cihaz ürün yazılımı görüntüsünü (/sbin/init) değiştirdiğini gösterdi.
Bu kötü amaçlı yazılım, "; 7 (Zu9ytsa7qq#vm" dizesini içeren bir ICMP paketi alırken veri açığa çıkma, dosya indirme ve yazma veya uzaktan kabukları açmaya izin verir.
Fortinet, saldırıların oldukça hedeflendiği sonucuna vardı ve tehdit aktörlerinin hükümet ağlarını tercih ettiğini gösteren bazı kanıtlar. Saldırganlar ayrıca Fortigate Cihazların işletim sisteminin tersine mühendislik kısımları da dahil olmak üzere "gelişmiş yetenekler" gösterdiler.
Şirket, "Saldırı, tercih edilen hükümet veya devletle ilgili hedeflerin bazı ipuçlarıyla oldukça hedefleniyor." Dedi.
"İstismar, Fortios ve altta yatan donanımın derin bir şekilde anlaşılmasını gerektirir. Özel implantlar, aktörün Fortios'un çeşitli kısımlarını tersine dönüştürme de dahil olmak üzere ileri yeteneklere sahip olduğunu göstermektedir."
Fortinet müşterilerinin potansiyel saldırı denemelerini engellemek için Fortios'un yamalı bir versiyonuna hemen yükseltmeleri tavsiye edilir (IOCS listesi de burada mevcuttur).
Ocak ayında Fortinet, Aralık 2022'de bir Fortios SSL-VPN güvenlik açığının yamalandığı ve CVE-2022-42475 olarak izlenen çok benzer bir dizi olay serisini açıkladı.
Fortios SSL-VPN sıfır gün saldırıları, eşyalar yazılımı yükseltmelerinden kurtulan siber-durum kötü amaçlı yazılımlarla eşleştirilmemiş Sonicwall Güvenli Mobil Erişim (SMA) aletlerini enfekte eden bir Çin hack kampanyasıyla birçok benzerliği paylaşıyor.
Fortinet, yeni eleştirel olmayan RCE güvenlik açığı konusunda uyarıyor
Yeni Boldmove Linux Kötü Yazılım Fortinet Cihazları Backsoor için Kullanılır
Microsoft Mart 2023 Patch Salı 2 sıfır gün, 83 kusur düzeltiyor
Microsoft Fidye Yazılımı Saldırılarında Windows Zero Day Soleed Düzeltiyor
Kritik Fortinet RCE kusuru için piyasaya sürülen istismar, şimdi yama
Kaynak: Bleeping Computer