Şüpheli Çinli hackerlar, yakın zamanda açıklanan Fortios SSL-VPN güvenlik açığını Aralık ayında sıfır gün olarak kullandı ve bir Avrupa hükümetini ve yeni bir özel 'Boldmove' Linux ve Windows kötü amaçlı yazılımları olan bir Afrika MSP'yi hedef aldı.
Güvenlik açığı CVE-2022-42475 olarak izlenir ve Kasım ayında Fortinet tarafından sessizce sabitlenmiştir. Fortinet, Aralık ayında kırılganlığı açıkça açıkladı ve müşterileri tehdit aktörleri aktif olarak kusurdan yararlanırken cihazlarını düzeltmeye çağırdı.
Kusur, uzaktan kumandasız saldırganların hedeflenen cihazları uzaktan çarpmasına veya uzaktan kod yürütmesi kazanmasına izin verir.
Bununla birlikte, Fortinet bu aya kadar bilgisayar korsanlarının nasıl kullanıldığı hakkında daha fazla ayrıntı paylaşmadı ve tehdit aktörlerinin Fortios cihazlarında çalışacak şekilde tasarlanmış özel kötü amaçlı yazılımlarla hükümet kuruluşlarını hedef aldığını açıkladı.
Saldırganlar, belirli günlük girişlerinin kaldırılabilmesi veya günlüğe kaydetme işlemini tamamen devre dışı bırakabilmesi için Fortios tomruklama işlemlerini eklemek için özel kötü amaçlı yazılımları kullanarak sömürülen cihazlarda kalıcılığı korumaya odaklanmıştır.
Dün, Mandiant, Ekim 2022'den beri Fortios cihazlarına yapılan saldırılar için açıkça tasarlanmış yeni bir 'Boldmove' kötü amaçlı yazılım kullanarak Fortios kusurundan yararlanan şüpheli bir Çin casusluk kampanyası hakkında bir rapor yayınladı.
Boldmove, Çinli bilgisayar korsanlarının cihaz üzerinde daha yüksek düzeyde kontrol kazanmasını sağlayan C'de yazılmış tam özellikli bir arka kapıdır ve Linux sürümü Fortios cihazlarında çalışacak şekilde oluşturulmuştur.
Mantiant, Boldmove'un çeşitli sürümlerini farklı özelliklere sahip olarak tanımladı, ancak tüm örneklerde gözlenen temel özellikler kümesi şunları içerir:
Boldmove tarafından desteklenen komutlar, tehdit aktörlerinin dosyaları uzaktan yönetmesine, komutları yürütmesine, etkileşimli kabuk oluşturma ve arka kapı kontrolü yapmasına izin verir.
Windows ve Linux varyantları büyük ölçüde aynıdır, ancak farklı kütüphaneler kullanır ve Mandiant, Windows sürümünün Linux varyantından neredeyse bir yıl önce 2021'de derlendiğine inanır.
Bununla birlikte, Linux ve Windows sürümleri arasındaki en önemli fark, Linux varyantlarından birinin Forios cihazlarını özellikle hedefleyen işlevsellik içermesidir.
Örneğin, bir Linux Boldmove sürümü, saldırganların tehlikeye atılan sistemdeki Fortinet günlüklerini değiştirmesine veya günlüğe kaydetme Daemons'ı (Miglogd ve Syslogd) devre dışı bırakmalarına izin verir, böylece savunucuların müdahaleleri izlemesini zorlaştırır.
Ayrıca, Boldmove'un bu sürümü, Dahili Fortinet Hizmetlerine istek gönderebilir ve saldırganların tüm dahili ağa ağ istekleri göndermesine ve yanal olarak diğer cihazlara yayılmasına olanak tanır.
Çin siber-ihale grubu, etkileşim gerektirmeden kolay ağ erişimi sundukları için güvenlik duvarları ve IPS/ISD cihazları gibi internete bakan cihazları hedeflemeye devam edecektir.
Ne yazık ki, savunucuların bu cihazlarda hangi süreçleri incelemeleri basit değildir ve Mandiant, yerel güvenlik mekanizmalarının onları korumak için çok iyi çalışmadığını söylüyor.
Raporda, "Bu tür cihazlarda çalışan kötü niyetli süreçleri veya telemetri tespit etmek için bir mekanizma yok, bir güvenlik açığının sömürülmesinin ardından kendilerine uygulanan kötü niyetli görüntüleri proaktif olarak avlamak için."
"Bu, ağ cihazlarını güvenlik uygulayıcıları için kör bir nokta haline getirir ve saldırganların onları gizlemelerine ve uzun süre gizli tutmalarına izin verirken, aynı zamanda hedeflenen bir ağda yer kazanmak için kullanır."
Bu cihazlardan biri için özel yapım bir arka kapının ortaya çıkması, tehdit aktörlerinin çevre ağ cihazlarının nasıl çalıştığını ve temsil ettikleri ilk erişim fırsatını derinlemesine anlamalarını kanıtlıyor.
Fortinet: Halk Ağları Şimdi Patched SSL-VPN Zero-Day ile hedeflendi
Microsoft yamaları Windows Sıfır Gün
Fortinet, SSL-VPN'nin öne geçme öncesi RCE hatasının saldırılarda sömürüldüğünü söylüyor
Sıçan kötü amaçlı yazılım kampanyası, poliglot dosyalarını kullanarak algılamadan kaçmaya çalışır
Microsoft Ocak 2023 Patch Salı 98 Kusurlu Düzeltmeler, 1 Sıfır Gün
Kaynak: Bleeping Computer