Fortinet şirkətinə məxsus FortiGate firewall cihazlarında aşkarlanmış kritik təhlükəsizlik boşluqları artıq real mühitlərdə aktiv şəkildə istismar olunur. Kibertəhlükəsizlik mütəxəssisləri təşkilatları sistemlərini təcili yeniləməyə çağırır.
Məlumata görə, hücumlar SAML Single Sign-On (SSO) autentifikasiya mexanizmi ilə əlaqəli iki kritik boşluq üzərindən həyata keçirilir. Bu boşluqlar hücumçulara autentifikasiya prosesini keçərək inzibatçır səlahiyyətləri ilə sistemə giriş imkanı yaradır.
Kibertəhlükəsizlik şirkəti Arctic Wolf 12 dekabr tarixində FortiGate cihazlarında zərərli SSO giriş cəhdlərinin müşahidə edildiyini bildirib. Hücumçular saxtalaşdırılmış SAML cavablarından istifadə etməklə “admin” hesabı üzərindən cihazlara daxil ola biliblər.
Boşluq əsasən FortiCloud SSO funksiyası aktiv olan FortiGate sistemlərini hədəf alır. Bu funksiya defolt olaraq deaktiv olsa da, cihaz FortiCare xidməti ilə qeydiyyatdan keçirildikdə avtomatik aktivləşə bilər. İnzibatçı tərəfindən deaktiv edilmədiyi hallarda isə ciddi təhlükəsizlik riski yaranır.
Uğurlu girişdən sonra hücumçular cihazın konfiqurasiya fayllarını idarəetmə interfeysi vasitəsilə ixrac edərək xarici serverlərə ötürüblər. Bu konfiqurasiyalar VPN parametrləri, istifadəçi məlumatları və digər həssas informasiyaları əhatə edə bilər.
Mütəxəssislərin sözlərinə görə, ələ keçirilmiş konfiqurasiya fayllarında saxlanılan hash edilmiş şifrələr zəif olduqda oflayn şəkildə qırıla bilər. Bu isə hücumçulara şəbəkə daxilində daha geniş imkanlar yaradır.
Hazırda hücumların hansı qrup tərəfindən həyata keçirildiyi rəsmi olaraq açıqlanmayıb. Bildirilir ki, kampaniya hələ ilkin mərhələdədir və məhdud sayda sistem təsirlənib.
Fortinet artıq zəifliklərlə bağlı təhlükəsizlik yeniləmələri yayımlayıb və istifadəçilərə yamaları mümkün qədər tez tətbiq etməyi tövsiyə edir. ABŞ-ın Kibertəhlükəsizlik və İnfrastruktur Təhlükəsizliyi Agentliyi (CISA) isə bu zəifliklərdən birini aktiv istismar olunan təhlükələr siyahısına daxil edərək dövlət qurumlarına təcili tədbir görülməsini tapşırıb.
Tövsiyə olunan tədbirlər
Mütəxəssislər aşağıdakı addımların atılmasını tövsiyə edirlər:
- FortiGate və digər Fortinet məhsullarını dərhal yeniləmək
- Yeniləmələr tətbiq edilənədək FortiCloud SSO funksiyasını deaktiv etmək
- İdarəetmə interfeyslərinə girişləri IP üzrə məhdudlaşdırmaq
- İnzibatçı və VPN istifadəçi şifrələrini yeniləmək
- Sistem loqlarını və şübhəli giriş cəhdlərini mütəmadi analiz etmək
