Fortinet'in geçen ay ele aldığı FortiOS SSL-VPN'deki zero day açığı, bilinmeyen aktörler tarafından hükümeti ve diğer büyük kuruluşları hedef alan saldırılarda kullanıldı.
Fortinet araştırmacıları bu hafta yayınladıkları bir post-mortem analizde, "İstismarın karmaşıklığı gelişmiş bir aktöre işaret ediyor ve yüksek oranda hükümet veya hükümetle ilgili yerleri hedefliyor" dedi.
Saldırılar, kimliği doğrulanmamış uzak bir saldırganın özel olarak hazırlanmış istekler aracılığıyla rastgele kod çalıştırmasına olanak tanıyabilecek yığın tabanlı bir arabellek taşması kusuru olan CVE-2022-42475'in istismar edilmesini gerektirmiştir.
Şirket tarafından analiz edilen bulaşma zinciri, nihai hedefin Fortinet'in saldırı önleme sistemi (IPS) yazılımını tehlikeye atacak ve ek kötü amaçlı yazılım indirmek ve komutları yürütmek için uzak bir sunucuyla bağlantı kurmak üzere donatılmış FortiOS için değiştirilmiş genel bir Linux implantını dağıtmak olduğunu gösteriyor.
Fortinet, saldırıların sonraki aşamalarında kullanılan yükleri kurtaramadığını söyledi. Saldırıların ne zaman gerçekleştiği açıklanmadı.
Buna ek olarak, çalışma şekli, analizi engellemek için şaşırtmanın yanı sıra FortiOS günlüğünü manipüle etmek ve tespit edilmeden kalmak için günlük süreçlerini sonlandırmak için "gelişmiş yeteneklerin" kullanıldığını ortaya koymaktadır.
Araştırmacılar, "FortiOS'taki olayların günlükleri olan elog dosyalarını arıyor" dedi. "Bunları bellekte açtıktan sonra, saldırganın belirttiği bir dizeyi arıyor, siliyor ve günlükleri yeniden oluşturuyor."
Ağ güvenliği şirketi ayrıca, istismarın "FortiOS ve altta yatan donanım hakkında derin bir anlayış" gerektirdiğini ve tehdit aktörünün FortiOS'un farklı bölümlerini tersine mühendislik becerilerine sahip olduğunu belirtti.
"Saldırgana atfedilen keşfedilen Windows örneği, Avustralya, Çin, Rusya, Singapur ve diğer Doğu Asya ülkelerini içeren UTC+8 saat dilimindeki bir makinede derlendiğine dair kanıtlar sergiledi" diye ekledi.
thehackernwes'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder