Fortinet, bilinmeyen saldırganların geçen ay hükümet kuruluşlarına ve devletle ilgili hedeflere yönelik saldırılarda yamalanan bir Fortios SSL-VPN sıfır gün kırılganlığından yararlandığını söyledi.
Bu olaylarda istismar edilen güvenlik kusuru (CVE-2022-42475), Fortios SSLVPND'de bulunan, kimlik doğrulanmamış saldırganların hedeflenen cihazları uzaktan çökmesine veya uzaktan kod yürütmesine izin veren yığın tabanlı bir tampon taşma zayıflığıdır.
Ağ güvenlik şirketi, Aralık ayı ortalarında müşterileri, 28 Kasım'da Fortios 7.2.3'te (ve sıfır gün olduğu bilgilerini serbest bırakmadan) sessizce sabitledikten sonra bu güvenlik açığından yararlanan devam eden saldırılara karşı cihazlarını yamaya çağırdı.
Müşteriler bu konuda 7 Aralık'ta bir TLP: Amber Danışmanlığı aracılığıyla özel olarak uyarıldı. Hatanın saldırılarda aktif olarak sömürüldüğüne dair bir uyarı da dahil olmak üzere 12 Aralık'ta daha fazla bilgi yayınlandı.
"Fortinet, bu güvenlik açığının vahşi doğada kullanıldığı bir örneğin farkındadır." Dedi.
Bu Çarşamba, Fortinet, saldırganların IPS motorunun truva atışlı bir versiyonu olarak konuşlandırılan kötü amaçlı yazılımları dağıtmak için Fortios SSL-VPN cihazlarını tehlikeye atmak için CVE-2022-42475 istismarlarını kullandıklarını gösteren bir takip raporu yayınladı.
Şirket, tehdit oyuncunun saldırılarının yüksek hedeflendiğini ve analiz sırasında hükümet ağlarına odaklandığını gösteren kanıtlarla hedeflendiğini söyledi.
Fortinet, "İstismarın karmaşıklığı gelişmiş bir aktör öneriyor ve hükümet veya devletle ilgili hedeflere büyük ölçüde hedeflendiğini gösteriyor." Dedi.
"Saldırgana atfedilen keşfedilen Windows örneği, Avustralya, Çin, Rusya, Singapur ve diğer Doğu Asya ülkelerini içeren UTC+8 saat diliminde bir makinede derlenmiş eserler sergiledi."
Saldırganlar, belirli günlük girişlerinin kaldırılabilmesi veya hatta gerektiğinde günlüğe kaydetme işlemlerini öldürmek için Fortios tomruklama işlemlerini yamalayan kötü amaçlı yazılım yüklemek için güvenlik açığını kullanarak kalıcılığı korumaya ve kaçınmaya odaklanmıştır.
Geri ihlal edilmiş cihazlarda indirilen ek yükler, kötü amaçlı yazılımın, güvenliği ihlal etme girişimlerini engellemek için ağ trafiğini sürekli olarak izleyerek tehditleri tespit etmek için tasarlanan tehlikeye atılan cihazların izinsiz giriş önleme sistemi (IPS) işlevini de kırdığını ortaya koydu.
Fortinet, "Kötü amaçlı yazılım, tespitten kaçınmak için kütükleri manipüle etmek için Fortios'un tomruklama süreçlerini yamalıyor." Dedi.
"Kötü amaçlı yazılım günlük dosyalarını manipüle edebilir. Fortios'taki olayların günlükleri olan ELOG dosyalarını arar. Bunları bellekte açtıktan sonra, saldırganın belirttiği, sildiği ve günlükleri yeniden yapılandırdığı bir dize arar."
Fortinet, saldırılar sırasında uzak bir siteden daha fazla kötü niyetli yükün indirildiği ancak analiz için alınamayacağı konusunda uyardı.
Şirket, geçen ayki CVE-2022-42475 sömürüsünün arkasındaki tehdit aktörünün, Fortios işletim sisteminin tersine çevrilen kısımları da dahil olmak üzere "gelişmiş yetenekleri" gösterdiği sonucuna vardı.
Ayrıca, müşterilere saldırı denemelerini engellemek ve Aralık saldırılarına bağlı uzlaşma göstergeleri bulmaları durumunda Fortinet desteğine ulaşmak için Fortios'un yamalı bir versiyonuna hemen yükseltmelerini tavsiye etti.
Fortinet, SSL-VPN'nin öne geçme öncesi RCE hatasının saldırılarda sömürüldüğünü söylüyor
Cisco, EOL yönlendiricilerindeki sıfır gününü atlatmaya yönelik kimlik doğrulamasını düzeltmeyecek
Microsoft Ocak 2023 Patch Salı 98 Kusurlu Düzeltmeler, 1 Sıfır Gün
Synology, VPN yönlendiricilerindeki maksimum şiddet güvenlik açığını düzeltir
Ukraynalı Govt Networks, Truva Azalanmış Windows 10 Montajcılar aracılığıyla ihlal edildi
Kaynak: Bleeping Computer