Tehdit avcıları, yönetim arayüzleri kamu internetine açık olan Fortinet FortiGate güvenlik duvarı cihazlarını hedef alan yeni bir kampanyaya dikkat çekiyor.
Siber güvenlik firması Arctic Wolf, geçen hafta yayımladığı bir analizde, “Kampanya, güvenlik duvarlarının yönetim arayüzlerinde yetkisiz yönetici girişleri, yeni hesapların oluşturulması, bu hesaplar üzerinden SSL VPN kimlik doğrulaması ve çeşitli diğer yapılandırma değişikliklerini içeriyordu,” dedi.
Kötü amaçlı etkinliğin, Kasım 2024 ortalarında başladığı ve bilinmeyen tehdit aktörlerinin etkilenen güvenlik duvarlarının yönetim arayüzlerine yetkisiz erişim sağladığı, yapılandırmaları değiştirdiği ve DCSync kullanarak kimlik bilgilerini çıkardığı düşünülüyor.
İlk erişim vektörü tam olarak bilinmemekle birlikte, “etkilenen organizasyonlar arasındaki sıkıştırılmış zaman çizelgesi ve etkilenen firmware sürümleri göz önüne alındığında, bunun bir sıfırıncı gün açığının istismar edilmesiyle mümkün olduğuna yüksek güvenle” değerlendiriliyor.
Etkilenen cihazların firmware sürümleri, sırasıyla Şubat ve Ekim 2024’te yayımlanan 7.0.14 ile 7.0.16 arasında değişiyordu.
Kampanya, 16 Kasım 2024 civarında başlayan dört farklı saldırı aşamasıyla gözlemlendi ve kötü niyetli aktörlerin, zafiyet taraması ve keşiften yapılandırma değişiklikleri ve yatay hareketliliğe geçiş yapmalarına olanak sağladı.
Arctic Wolf araştırmacıları, “Bu faaliyetlerin, meşru güvenlik duvarı faaliyetlerinden farkı, yalnızca birkaç sıra dışı IP adresinden jsconsole arayüzünün yoğun şekilde kullanılmasındadır,” dedi.
“İzlerin ve altyapıdaki ince farklar göz önüne alındığında, birden fazla kişi veya grubun bu kampanyaya dahil olmuş olabileceği mümkündür, ancak jsconsole kullanımı her durumda ortak bir nokta olarak öne çıkmaktadır.”
Özetle, dijital ihlaller, saldırganların güvenlik duvarı yönetim arayüzlerine giriş yaparak, ilk keşif çabaları kapsamında “standard”dan “more” olarak çıkış ayarını değiştirmeyi içeren yapılandırma değişiklikleri yapmalarına ve Aralık 2024 başlarında yeni süper yönetici hesapları oluşturmak için daha kapsamlı değişiklikler yapmalarına dayanıyordu.
Bu yeni oluşturulan süper yönetici hesaplarının, daha sonra her cihaz için altı yeni yerel kullanıcı hesabı oluşturmak ve bunları, mağdur organizasyonlar tarafından daha önce SSL VPN erişimi için oluşturulmuş mevcut gruplara eklemek için kullanıldığı bildirildi. Diğer olaylarda ise mevcut hesaplar ele geçirilerek VPN erişimi olan gruplara eklendi.
Arctic Wolf, “Tehdit aktörlerinin ayrıca yeni SSL VPN portalları oluşturdukları ve bunlara kullanıcı hesapları ekledikleri gözlemlendi,” dedi. “Gerekli değişiklikleri yaptıktan sonra, tehdit aktörleri etkilenen cihazlarla SSL VPN tünelleri kurdu. Tünellerin tüm istemci IP adresleri, birkaç VPS barındırma sağlayıcısından geldi.”
Kampanya, saldırganların SSL VPN erişimini kullanarak DCSync adlı bir teknik ile yatay hareketlilik için kimlik bilgilerini çıkarmalarıyla zirveye ulaştı. Ancak, şu anda nihai hedeflere dair bir görünürlük bulunmuyor çünkü saldırılar bir sonraki aşamaya geçmeden önce, ele geçirilen ortamlardan silindi.
Bu tür riskleri azaltmak için, organizasyonların güvenlik duvarı yönetim arayüzlerini internete açmamaları ve erişimi güvenilir kullanıcılarla sınırlamaları önemlidir.
“Bu kampanyadaki mağduriyet, belirli sektörlere veya organizasyon boyutlarına indirgenmiş değildir,” diye belirtti firma. “Mağdur organizasyon profillerindeki çeşitlilik ile otomatik giriş/çıkış etkinliklerinin görünümü, hedeflemenin kasıtlı ve metodik değil, fırsatçı bir doğaya sahip olduğunu düşündürmektedir.”
Fortinet, Yeni Sıfırıncı Gün Açığını Doğruladı
Fortinet, FortiOS ve FortiProxy’deki yeni kritik kimlik doğrulama atlatma açığını (CVE-2024-55591, CVSS skoru: 9.6) doğruladı. Şirket, bu açığın güvenlik duvarlarını ele geçirip kurumsal ağlara sızmak için kullanıldığını belirtti.
Şirketin 14 Ocak 2025’te yayımladığı bir duyuruda, “FortiOS ve FortiProxy’de bulunan Bir Alternatif Yol veya Kanal Kullanarak Kimlik Doğrulama Atlatma açığı [CWE-288], uzaktaki bir saldırganın Node.js websocket modülüne yapılan özelleştirilmiş isteklerle süper yönetici ayrıcalıkları kazanmasına olanak tanıyabilir,” denildi.
Etkilenen sürümler şunlardır:
- FortiOS 7.0.0 ile 7.0.16 (7.0.17 veya üzeri sürüme yükseltin)
- FortiProxy 7.0.0 ile 7.0.19 (7.0.20 veya üzeri sürüme yükseltin)
- FortiProxy 7.2.0 ile 7.2.12 (7.2.13 veya üzeri sürüme yükseltin)
Ayrıca, bu açığın, Arctic Wolf’un bulgularını yineleyerek, bilinmeyen tehdit aktörleri tarafından yönetici ve yerel kullanıcı hesapları oluşturmak, yeni bir kullanıcı grubu oluşturmak veya yeni oluşturulan yerel kullanıcıları mevcut SSL VPN kullanıcı grubuna eklemek ve güvenlik duvarı politikası değişiklikleri yapmak için kullanıldığı bildirildi.
CISA, Fortinet Açığını KEV Kataloğuna Ekledi
Fortinet, The Hacker News’e yaptığı açıklamada şunları söyledi:
“Bugüne kadar müşterilerimize, CVE-2024-55591 (FG-IR-24-535) hakkında rehberlik sağlamak için proaktif bir şekilde iletişim kurduk, çözüm ve geçici önlemlerle risklerini azaltmalarına yardımcı olduk. Bazı durumlarda, gizli müşteri iletişimleri, müşterilerin güvenlik duruşlarını güçlendirmelerine yardımcı olmak için erken rehberlik sağlayabilir. Devam eden yanıtımızın bir parçası olarak, hükümet ajansları ve sektör tehdit araştırma organizasyonlarıyla koordinasyon içinde çalışıyoruz. Müşterilerimize duyuruda belirtilen rehberliği takip etmelerini, zamanında yamanama uygulamalarını yapmalarını ve ağlarını olağan dışı etkinlikler için izlemeye devam etmelerini tavsiye ediyoruz.”
CVE-2024-55591’in aktif olarak istismar edilmesi, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından açığın, 21 Ocak 2025’e kadar federal ajansların düzeltmeleri uygulamalarını gerektiren Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna eklenmesine neden oldu.