FBI ve CISA, APT'lerin Takılmamış Fortinet Güvenlik Açıklarını Suistimal Ettiği Konusunda Uyardı

FBI ve İç Güvenlik Bakanlığı'nın Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) yapılan ortak bir açıklamaya göre, uluslararası Gelişmiş Kalıcı Tehditler veya APT'ler şu anda teknoloji hizmetleri sağlayıcılarına, devlet kurumlarına ve özel sektöre ait Fortinet FortiOS platformlarındaki eşlenmemiş güvenlik açıklarını kullanıyor. varlıklar.

APT'ler, başlangıçta 2019'da keşfedilen CVE-2018-13379, CVE-2020-12812 ve CVE-2019-5591 kusurlarına odaklandı. Bu son hack kampanyası, saldırganların kurbanın ağına girip beklemesine olanak tanıyor. gelecekteki siber saldırılar için.

CVE-2018-13379, Fortinet FortiOS 6.0.0 - 6.0.4, 5.6.3 - 5.6.7 ve 5.4.6 - 5.4.12 platformları ile ilişkilidir ve bir yol adının, SSL Sanal Özel Ağ (VPN) web portalı.

Bu kusur, istismar edildikten sonra, saldırganlara sistem dosyalarını özel olarak hazırlanmış HTTP kaynak istekleri aracılığıyla indirme yeteneği verir. Önceki bir CISA uyarısı, bir istismarın, savunmasız sistem aracılığıyla şifreleri açığa çıkarabileceğini de belirtti.

Güvenlik Açıkları Nasıl Kullanılıyor?

Güvenlik açığından yararlanmak için, bilgisayar korsanlarının başlangıçta oturum açmış SSL VPN kullanıcılarının kimlik bilgilerini alması gerekir.

Önceki bilgisayar korsanlığı kampanyalarında , siber suçlular zincirleme kampanyalarda bu güvenlik açıklarından yararlandı. Bilgisayar korsanı, kurbanın ağına girebilmek için başlangıçta bir Fortinet FortiOS güvenlik açığından yararlanmak zorunda kalacak, ardından tek bir ihlal sırasında ayrıcalıkları yükseltmek için saldırıyı kritik bir Netlogon güvenlik açığı olan CVE-2020-1472 ile eşleştireceklerdi.

Bu son saldırılarla, ABD güvenlik kurumları uyardı olduğunu APT'ler şu anda bağlantı noktalarında cihazlar için taradığınız 4443, 8443 ve 10443 bulmak için CVE-2020-12812 ve CVE-2019- için CVE-2018-13379 yanı sıra sayılan cihazlar 5591.

Ortak bildiriye göre, güvenlik açıkları tipik olarak APT'ler tarafından DDoS saldırıları, fidye yazılımı, casus kimlik avı , SQL enjeksiyon saldırıları, web sitesi tahrifatı ve dezenformasyon kampanyaları yürütmek için kullanılıyor.

Bu kampanya sırasında, APT'ler, birden çok kritik altyapı sektörü için ağ erişimi elde etmek için Fortinet kusurlarından yararlanacak olsa da, bu uyarı, "takip eden veri hırsızlığı veya veri şifreleme saldırıları için önceden konumlandırma" olarak adlandırıldı.

Açıklamaya göre, "APT aktörleri, kritik altyapı ağlarına erişim sağlamak için diğer CVE'leri veya yaygın istismar tekniklerini (öncü kimlik avı gibi) takip saldırıları için önceden konumlandırmak için kullanabilir".

Kritik altyapı kuruluşlarına artık Fortinet yazılım güncellemesini cihazlarına hemen uygulamaları öneriliyor.

Teknolojiyi kullanmayan kuruluşlar, programı ve dosyalarını yükleme ve / veya çalıştırma girişimlerini önlemek için FortiOS anahtar yapı dosyalarını derhal yürütme reddetme listesine eklemelidir.

CISA ve FBI Kullanıcılara Ne Öneriyor?

ABD kurumları ayrıca, herhangi bir yazılım yüklemesi için yönetici kimlik bilgilerine ihtiyaç duyulmasını ve tüm ilgili uç noktalar için çok faktörlü kimlik doğrulamasından yararlanılmasını önermektedir. Ağ bölümleme, savunmasız teknolojiyi ana ağdan izole etmek ve verileri düzenli olarak parola korumalı bir çevrimdışı depolama sunucusunda yedeklemek için şiddetle tavsiye edilir.

İletilerdeki köprülerin devre dışı bırakılması ve harici e-postaların işaretlenmesinin yanı sıra, kimlik avı e-postalarını belirleme ve bunlardan kaçınmaya dayalı olarak artırılmış çalışan farkındalığına ve ek eğitime odaklanılması da önerilir.

FBI ve CISA, APT’lerin Takılmamış Fortinet Güvenlik Açıklarını Suistimal Ettiği Konusunda Uyardı Ekran Görüntüsü