Siber Muhbir

Bu, Fortinet FortiGuard Labs'ın bulgularına göre, güvenlik açıklarının CSA'ya kimliği doğrulanmamış erişim elde etmek, cihazda yapılandırılan kullanıcıları numaralandırmak ve bu kullanıcıların kimlik bilgilerine erişmeye çalışmak için kötüye kullanıldığını söyledi.

Güvenlik araştırmacıları Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans ve Robert Reyes, "Gelişmiş düşmanların, kurbanın ağında sahil başı erişimi sağlamak için sıfır gün güvenlik açıklarından yararlandığı ve zincirlediği gözlemlendi" dedi.

Söz konusu kusurlar aşağıda listelenmiştir -

• CVE-2024-8190 (CVSS puanı: 7.2) - /gsb/DateTimeTab.php kaynağında bir komut ekleme hatası
• CVE-2024-8963 (CVSS puanı: 9.4) - /client/index.php kaynağında bir yol geçişi güvenlik açığı
• CVE-2024-9380 (CVSS puanı: 7.2) - Kaynak reports.php etkileyen kimliği doğrulanmış bir komut enjeksiyonu güvenlik açığı

Bir sonraki aşamada, gsbadmin ve admin ile ilişkili çalınan kimlik bilgileri, bir web kabuğunu ("help.php") bırakmak için /gsb/reports.php kaynağını etkileyen komut enjeksiyon güvenlik açığından kimliği doğrulanmış bir şekilde yararlanmak için kullanıldı.

"10 Eylül 2024'te, CVE-2024-8190 için danışma belgesi Ivanti tarafından yayınlandığında, müşterinin ağında hala aktif olan tehdit aktörü, /gsb/DateTimeTab.php ve /gsb/reports.php kaynaklarındaki komut enjeksiyonu güvenlik açıklarını 'yamaladı' ve bunları istismar edilemez hale getirdi."

"Geçmişte, tehdit aktörlerinin, diğer herhangi bir davetsiz misafirin savunmasız varlıklara erişmesini ve potansiyel olarak saldırı operasyonlarına müdahale etmesini durdurmak için güvenlik açıklarından yararlandıktan ve kurbanın ağına ayak uydurduktan sonra yama yaptıkları gözlemlendi."

Bilinmeyen saldırganların, internete yönelik CSA cihazını tehlikeye attıktan sonra Ivanti Endpoint Manager'ı (EPM) etkileyen kritik bir kusur olan CVE-2024-29824'ü kötüye kullandıkları da tespit edildi. Özellikle, bu, uzaktan kod yürütmeyi sağlamak için xp_cmdshell saklı yordamının etkinleştirilmesini içeriyordu.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) güvenlik açığını Ekim 2024'ün ilk haftasında Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklediğini belirtmekte fayda var.

Diğer etkinliklerden bazıları, mssqlsvc adlı yeni bir kullanıcı oluşturmayı, keşif komutlarını çalıştırmayı, bu komutların sonuçlarını PowerShell kodunu kullanarak DNS tünelleme olarak bilinen bir teknik aracılığıyla sızdırmayı ve ReverseSocks5 adlı açık kaynaklı bir araç aracılığıyla CSA cihazı aracılığıyla trafiği proxy'lemeyi içeriyordu.

Ayrıca, güvenliği ihlal edilmiş CSA cihazında bir Linux çekirdek nesnesi ("sysinitd.ko") biçiminde bir rootkit'in konuşlandırılması da dikkat çekicidir. Etkinlik 7 Eylül 2024'te tespit edildi.

Fortinet araştırmacıları, "Bunun arkasındaki olası neden, tehdit aktörünün CSA cihazında fabrika ayarlarına sıfırlama işleminden bile geçebilecek çekirdek düzeyinde kalıcılığı sürdürmesiydi" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.