CVE-2022-42475 Güvenlik Açığı

2022 ile 2023 yılları arasında Çin bağlantılı devlet destekli tehdit aktörleri, bilinen bir kritik güvenlik açığından yararlanarak dünya çapında 20.000 Fortinet FortiGate sistemine sızdı. Bu ihlal, daha önce kabul edilenden daha geniş bir etkiyi ortaya koyuyor.

Bu operasyondan sorumlu devlet aktörü, Fortinet tarafından ifşa edilmeden en az iki ay önce FortiGate sistemlerindeki güvenlik açığının farkındaydı. Sıfır gün penceresi olarak bilinen bu dönemde aktör, 14.000 cihazın güvenliğini başarıyla ele geçirdi.

Hollanda Askeri İstihbarat ve Güvenlik Servisi (MIVD) ile Genel İstihbarat ve Güvenlik Servisi'nin (AIVD) 2024 başlarında hazırladığı ortak rapora göre, Çinli bilgisayar korsanları, FortiOS/FortiProxy için kritik bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-42475'i istismar etti. Saldırganlar, 2022 ve 2023'teki birkaç ay boyunca savunmasız Fortigate ağ güvenliği cihazlarına kötü amaçlı yazılım yüklemeyi başardılar.

Saldırganlar, Güvenliği Tehlike Altına Giren Cihazlara Elbise Askısı RAT Kullandı

Saldırılarda keşfedilen Coathanger Uzaktan Erişim Truva Atı (RAT) kötü amaçlı yazılımı, Hollanda Savunma Bakanlığı'na ait olan ve özellikle sınıflandırılmamış projelerde Araştırma ve Geliştirme (Ar-Ge) için kullanılan bir ağda da tespit edildi. Neyse ki ağ segmentasyonu sayesinde saldırganların diğer sistemlere sızması engellendi.

Sistemin yeniden başlatılması ve ürün yazılımı yükseltmeleri yoluyla varlığını sürdürebilen, daha önce açıklanmayan bu kötü amaçlı yazılım türü, Çin devleti destekli bir bilgisayar korsanlığı grubu tarafından Hollanda ve müttefiklerini hedef alan bir siyasi casusluk kampanyasında kullanıldı. Bu, devlet aktörünün ele geçirilen sistemlere kalıcı erişim sağlamasına olanak sağladı. FortiGate'ten yüklenen güvenlik güncellemeleri olsa bile devlet aktörü bu erişimi korur.

Kötü amaçlı yazılımın yüklü olduğu kurbanların kesin sayısı bilinmiyor. Ancak araştırmacılar, devlet aktörünün potansiyel olarak erişimlerini dünya çapında yüzlerce kurbana genişletebileceğini ve veri hırsızlığı gibi başka eylemleri mümkün kılabileceğini düşünüyor.

Siber Suçlular İhlal Edilen Cihazlara Hala Erişebilir

Şubat ayından bu yana, Çinli bir tehdit grubunun 2022 ile 2023 yılları arasında dünya çapında 20.000'den fazla FortiGate sistemine erişim sağladığı ortaya çıktı; bu, Fortinet'in CVE-2022-42475 güvenlik açığını açıklamasından en az iki ay önce, birkaç ay sürdü.

MIVD, Çinli bilgisayar korsanlarının muhtemelen çok sayıda kurbana erişimini sürdürdüğünü, çünkü Coathanger kötü amaçlı yazılımının sistem çağrılarını yakalayarak tespitten kaçma konusunda usta olduğunu ve varlığının tespit edilmesini zorlaştırdığını öne sürüyor. Üstelik, kaldırılmaya dayanıklıdır ve ürün yazılımı yükseltmelerine karşı dayanıklıdır. CVE-2022-42475, Ocak 2023'te ortaya çıktığı üzere, öncelikle devlet kurumlarını ve bağlı kuruluşları hedef alan bir sıfır gün güvenlik açığı olarak kullanıldı.

Bu saldırılar, yama yapılmamış SonicWall Güvenli Mobil Erişim (SMA) cihazlarından yararlanmaya odaklanan ve ürün yazılımı yükseltmelerine devam etmek üzere tasarlanmış siber casusluk kötü amaçlı yazılımlarını kullanmaya odaklanan başka bir Çin bilgisayar korsanlığı kampanyasıyla çarpıcı benzerlikler paylaşıyor.