Saldırganlar, kuruluşların kritik güvenlik açıklarını düzeltmedeki başarısızlığından yararlanıyor.
Birden çok tehdit aktörü, korunan bir ağın en kritik bölümlerinden bazılarına bulaşmalarına olanak sağlayan yakın zamanda yamalanmış iki güvenlik açığından yararlanmak için yarışırken, dünyanın dört bir yanındaki kuruluşlar bir kez daha güvenlik güncellemelerini yüklememenin risklerini öğreniyor.
Güvenlik açıklarının her ikisi de olası 10 üzerinden 9,8 önem derecesine sahip ve büyük ağların güvenliğini sağlamada çok önemli olan birbiriyle ilgisiz iki üründe bulunuyor. CVE-2022-47966 olarak izlenen ilk güvenlik açığı, şirketin ManageEngine'ini kullanan yazılım üreticisi Zoho'nun 24 ayrı ürününde kimlik doğrulama öncesi uzaktan kod yürütme güvenlik açığıdır. Geçen Ekim'den Kasım'a kadar dalgalar halinde yamalandı. İkinci güvenlik açığı olan CVE-2022-39952, siber güvenlik şirketi Fortinet tarafından üretilen ve geçen hafta yamalanan FortiNAC adlı bir ürünü etkiliyor.
Hem ManageEngine hem de FortiNAC, sıfır güven ürünleri olarak faturalandırılır; bu, bir ağın ihlal edildiği varsayımı altında çalıştıkları ve virüs bulaşmadıklarından veya kötü niyetli hareket etmediklerinden emin olmak için cihazları sürekli olarak izledikleri anlamına gelir. Sıfır güven ürünleri, bir ağdaki hiçbir ağ cihazına veya düğüme güvenmez ve bunun yerine güvenli olduklarını doğrulamak için aktif olarak çalışır.
24 Zoho ürünü etkilendi
ManageEngine, Zoho'nun temel işlevleri yerine getiren çok çeşitli ağ yönetimi yazılımlarına ve cihazlarına güç sağlayan motordur. Örneğin, AD Manager Plus, yöneticilerin bir ağdaki tüm kullanıcı hesaplarını oluşturmak ve silmek ve her birine sistem ayrıcalıkları atamak için Windows hizmeti olan Active Directory'yi kurmasına ve sürdürmesine yardımcı olur. Password Manager Pro, bir ağın tüm parola verilerini depolamak için merkezi bir dijital kasa sağlar. ManageEngine tarafından etkinleştirilen diğer ürünler, masaüstlerini, mobil cihazları, sunucuları, uygulamaları ve hizmet masalarını yönetir.
CVE-2022-47966, Güvenlik Onayı Biçimlendirme Dili kullanılarak özel olarak hazırlanmış bir yanıt içeren standart bir HTTP POST isteği yayınlayarak saldırganların kötü amaçlı kodu uzaktan yürütmesine olanak tanır. (Kısaltılmış şekliyle SAML, kimlik sağlayıcıların ve hizmet sağlayıcıların kimlik doğrulama ve yetkilendirme verilerini değiş tokuş etmek için kullandıkları açık standart bir dildir.) Güvenlik açığı, Zoho'nun XML imza doğrulaması için eski bir Apache Santuario sürümünü kullanmasından kaynaklanmaktadır.
Ocak ayında, Zoho'nun ManageEngine güvenlik açığını düzeltmesinden yaklaşık iki ay sonra, güvenlik firması Horizon3.ai, kavram kanıtı istismar kodunu içeren derin bir analiz yayınladı. Bir gün içinde, Bitdefender gibi güvenlik firmaları, dünya çapında güvenlik güncellemesini henüz yüklememiş olan kuruluşları hedef alan çok sayıda tehdit aktörünün bir dizi aktif saldırısını görmeye başladı.
Bazı saldırılar, Netcat komut satırı ve oradan da Anydesk uzaktan oturum açma yazılımı gibi araçları yüklemek için güvenlik açığından yararlandı. Başarılı olduğunda, tehdit aktörleri ilk erişimi diğer tehdit gruplarına satar. Diğer saldırı grupları, Buhti olarak bilinen fidye yazılımını, Cobalt Strike ve RAT-el gibi istismar sonrası araçları ve casusluk için kullanılan kötü amaçlı yazılımları yüklemek için güvenlik açığından yararlandı.
Bitdefender araştırmacıları, "Bu güvenlik açığı, sistemleri en son güvenlik yamalarıyla güncel tutmanın ve aynı zamanda güçlü çevre savunması kullanmanın öneminin bir başka açık hatırlatıcısıdır" diye yazdı. "Birçok kuruluşun kısmen uygun yama yönetimi ve risk yönetiminin olmaması nedeniyle eski açıklardan yararlanmaya karşı savunmasız olduğunu bildiklerinde, saldırganların yeni açıkları veya yeni teknikleri araştırmasına gerek kalmıyor."
Zoho temsilcileri, bu gönderi için yorum isteyen bir e-postaya yanıt vermedi.
FortiNAC "büyük" saldırı altında
Bu arada CVE-2022-39952, bir ağa bağlı her cihazı tanımlayan ve izleyen bir ağ erişim kontrolü çözümü olan FortiNAC'ta bulunur. Büyük kuruluşlar FortiNAC'ı endüstriyel kontrol sistemleri, BT cihazları ve Nesnelerin İnterneti cihazlarındaki operasyonel teknoloji ağlarını korumak için kullanır. Dosya adının veya yolunun harici denetimi olarak bilinen güvenlik açığı sınıfı, kimliği doğrulanmamış saldırganların bir sisteme rasgele dosyalar yazmasına ve oradan sınırsız kök ayrıcalıklarıyla çalışan uzaktan kod yürütmesine olanak tanır.
Fortinet güvenlik açığını 16 Şubat'ta yamaladı ve birkaç gün içinde birçok kuruluştan araştırmacı güvenlik açığının aktif olarak kullanıldığını bildirdi. Uyarılar, Shadowserver, Cronup ve Greynoise gibi kuruluşlardan veya şirketlerden geldi. Horizon3.ai bir kez daha güvenlik açığının nedenini ve nasıl silah haline getirilebileceğini analiz eden derinlemesine bir inceleme sağladı.
Cronup'tan araştırmacılar, "Güvenliği ihlal edilmiş cihazlara daha sonra erişim için büyük Webshells (arka kapılar) kurulumunu tespit etmeye başladık" diye yazdı.
Güvenlik açığı, saldırganlara uzaktan komut verebilecekleri bir metin penceresi sağlayan farklı web kabukları yükleme girişimlerinde çok sayıda tehdit aktörü tarafından istismar ediliyor.
Perşembe günü yayınlanan bir blog yazısında Fortinet CTO'su Carl Windsor, şirketin ürünlerinde güvenlik açıkları bulmak için düzenli olarak iç güvenlik denetimleri gerçekleştirdiğini söyledi.
Windsor, "Önemli olarak, bu iç denetimlerden biri sırasında Fortinet PSIRT ekibinin kendisi bu Uzaktan Kod Yürütme güvenlik açığını tespit etti," diye yazdı. "Bu bulguyu hemen düzelttik ve Şubat ayı PSIRT danışma belgemizin bir parçası olarak yayınladık. (Danışmalarımıza abone değilseniz, burada açıklanan yöntemlerden birini kullanarak kaydolmanızı önemle tavsiye ederiz.) Fortinet PSIRT politikası, şeffaflık kültürümüzle taahhüdümüzü dengeler. müşterilerimizin güvenliği için."
Son yıllarda, birkaç Fortinet ürünü aktif olarak kullanılmaya başlandı. 2021'de Fortinet'in FortiOS VPN'indeki üç güvenlik açığı (ikisi 2019'da ve biri bir yıl sonra yamalandı) birden çok devlet, ticari ve teknoloji hizmetine erişmeye çalışan saldırganlar tarafından hedef alındı.
Geçen Aralık ayında, bilinmeyen bir tehdit aktörü, FortiOS SSL-VPN'deki farklı bir kritik güvenlik açığından yararlanarak devlete ve devletle ilgili kuruluşlara gelişmiş özel yapım kötü amaçlı yazılımlar bulaştırdı. Fortinet, güvenlik açığını Kasım ayı sonlarında sessizce düzeltti ancak vahşi saldırılar başlayana kadar açıklamadı. Şirket, ürünlerindeki güvenlik açıklarını ifşa etme politikasının nedenini veya nedenini henüz açıklamadı.
Son yıllardaki saldırılar, saldırganları korumalı ağlardan uzak tutmak için tasarlanan güvenlik ürünlerinin, şirketler bunları açıklamadığında veya daha yakın zamanda müşteriler güncellemeleri yükleyemediğinde özellikle tehlikeli olabilen iki ucu keskin bir kılıç olabileceğini gösteriyor. ManageEngine veya FortiNAC kullanan ağları yöneten veya denetleyen herkes, savunmasız olup olmadıklarını hemen kontrol etmelidir. Yukarıda bağlantılı araştırma gönderileri, insanların hedef alınıp alınmadığını belirlemek için kullanabilecekleri zengin göstergeler sağlar.
Tags:
Bilgi Teknolojisi