Fortinet'in FortiOS SSL VPN'indeki yeni güvenlik açığı, uzaktan kod yürütülmesine izin veriyor. Tenable, güvenlik açığının Rusya, İran ve Çin gibi ülkelerle bağlantılı devlet destekli saldırganlar tarafından istismar edilmesi hakkında yorum yaptı.
Mandiant güvenlik araştırmacıları, saldırganların Fortinet'in FortiOS SSL VPN'i CVE-2022-42475'te yakın zamanda açıklanan bir güvenlik açığından sıfır gün yararlandığı yeni bir siber saldırı kampanyasını izliyor. Bir sıfırıncı gün güvenlik açığını keşfetmek veya tedarik etmek genellikle maliyetli bir çabadır, bu nedenle bir ulus devlet aktörünün sıfırıncı gün güvenlik açığından yararlanması şaşırtıcı olsa da beklenmeyen bir durum değildir.
Sıfır gün güvenlik açıkları maliyetlidir
"2019'dan bu yana, fidye yazılımı ortaklarından gelişmiş kalıcı tehdit (APT) gruplarına ve Rusya, İran ve Çin gibi ülkelerle çalışan ulus devlet aktörlerine kadar çeşitli saldırganlar tarafından Citrix, Pulse Secure ve Fortinet SSL VPN güvenlik açıklarının kullanıldığını gördük. bağlılar.
Bu varlıklar herkese açık olduğundan, saldırılar için ideal bir hedeftir. Maliyet açısından bakıldığında, sıfır gün güvenlik açıklarını geliştirmeye veya tedarik etmeye yönelik yatırım kesinlikle daha yüksekken, daha eski güvenlik açıkları için halka açık yararlanma kodunu kullanmanın hiçbir maliyeti yoktur. Bunu göz önünde bulundurarak, Çin ile bağları olan bir devlet aktörünün, beklenmedik olmasa da, sıfırıncı gün güvenlik açığından faydalanması şaşırtıcıdır. SSL VPN yazılımı kullanan işletmeler, fırsatçı saldırganların fırsat penceresini sınırlamak için bu cihazlara zamanında yama uygulamaya odaklanmalıdır. Aynı zamanda, sağlam bir güvenlik olayına müdahale programının yürürlükte olduğundan emin olmalılar," dedi Tenable personel araştırma mühendisi Satnam Narang.
Saldırı ve yama ile kafa kafaya gidin
Kamuya ilk açıklamadan üç gün sonra Fortinet, CVE-2022-42475 yamasını yayınladı ve bunun vahşi ortamda istismar edildiğini doğruladı. Kritik güvenlik açığı, arabellek taşması güvenlik açığıdır. Bu, SSL VPN'lerinde ve güvenlik duvarlarında kullanılan birden fazla ForiOS sürümünde uzaktan kod yürütülmesine izin verir.
Fortinet SSL VPN'leri yıllardır önemli bir hedef oldu - öyle ki 2021'de FBI ve CISA bu güvenlik açıkları ve bunlardan nasıl yararlanılacağı hakkında özel bir tavsiye yayınladı. Devlet aktörlerinin, Fortinet SSL VPN'lerindeki bu eski güvenlik açıklarından yararlanmaya devam ettiği biliniyor. Bu yeni güvenlik açığından zaten yararlanıldığı için kuruluşlar, diğer eski VPN güvenlik açıkları arasına katılmadan hemen önce CVE-2022-42475'i yamamalıdır.
Daha fazlası Tenable.com'da
Kiralanabilir Hakkında Tenable bir Cyber Exposure şirketidir. Dünya çapında 24.000'den fazla şirket, siber riski anlamak ve azaltmak için Tenable'a güveniyor. Nessus mucitleri, güvenlik açığı uzmanlıklarını Tenable.io'da birleştirerek, endüstrinin herhangi bir bilgi işlem platformundaki herhangi bir varlığın gerçek zamanlı görünürlüğünü sağlayan ve güvenliğini sağlayan ilk platformunu sağladı. Tenable'ın müşteri tabanı, Fortune 53'ün yüzde 500'ünü, Global 29'in yüzde 2000'unu ve büyük devlet kurumlarını içerir.