Birden çok tehdit aktörü, korunan bir ağın en kritik bölümlerinden bazılarına bulaşmalarına olanak sağlayan yakın zamanda yamalanmış iki güvenlik açığından yararlanmak için yarışırken, dünyanın dört bir yanındaki kuruluşlar bir kez daha güvenlik güncellemelerini yüklememenin risklerini öğreniyor.
Güvenlik açıklarının her ikisi de olası 10 üzerinden 9,8 önem derecesine sahip ve büyük ağların güvenliğini sağlamada çok önemli olan birbiriyle ilgisiz iki üründe bulunuyor. İlk olarak izlenen CVE-2022-47966şirketin kimlik doğrulamasını kullanan yazılım üreticisi Zoho’nun 24 ayrı ürününde kimlik doğrulama öncesi uzaktan kod yürütme güvenlik açığıdır. Motoru Yönet. Oldu yamalı geçen Ekim’den Kasım’a kadar dalgalar halinde. İkinci güvenlik açığı, CVE-2022-39952siber güvenlik şirketi Fortinet tarafından yapılan ve geçen hafta yama uygulanan FortiNAC adlı bir ürünü etkiliyor.
Hem ManageEngine hem de FortiNAC, sıfır güven ürünleri olarak faturalandırılır; bu, bir ağın ihlal edildiği varsayımı altında çalıştıkları ve virüs bulaşmadıklarından veya kötü niyetli hareket etmediklerinden emin olmak için cihazları sürekli olarak izledikleri anlamına gelir. Sıfır güven ürünleri, bir ağdaki hiçbir ağ cihazına veya düğüme güvenmez ve bunun yerine güvenli olduklarını doğrulamak için aktif olarak çalışır.
24 Zoho ürünü etkilendi
ManageEngine, Zoho’nun temel işlevleri yerine getiren çok çeşitli ağ yönetimi yazılımlarına ve cihazlarına güç sağlayan motordur. Örneğin, AD Manager Plus, yöneticilerin bir ağdaki tüm kullanıcı hesaplarını oluşturmak ve silmek ve her birine sistem ayrıcalıkları atamak için Windows hizmeti olan Active Directory’yi kurmasına ve sürdürmesine yardımcı olur. Password Manager Pro, bir ağın tüm parola verilerini depolamak için merkezi bir dijital kasa sağlar. ManageEngine tarafından etkinleştirilen diğer ürünler, masaüstlerini, mobil cihazları, sunucuları, uygulamaları ve hizmet masalarını yönetir.
CVE-2022-47966, Güvenlik Onayı Biçimlendirme Dili kullanılarak özel olarak hazırlanmış bir yanıt içeren standart bir HTTP POST isteği yayınlayarak saldırganların kötü amaçlı kodu uzaktan yürütmesine olanak tanır. (Kısaltılmış şekliyle SAML, kimlik sağlayıcıların ve hizmet sağlayıcıların kimlik doğrulama ve yetkilendirme verilerini değiş tokuş etmek için kullandıkları açık standart bir dildir.) Güvenlik açığı, Zoho’nun XML imza doğrulaması için eski bir Apache Santuario sürümünü kullanmasından kaynaklanmaktadır.
Ocak ayında, Zoho’nun ManageEngine güvenlik açığını yamalamasından yaklaşık iki ay sonra, güvenlik firması Horizon3.ai bir derin dalış analizi bu, kavram kanıtı istismar kodunu içeriyordu. Bir gün içinde, Bitdefender gibi güvenlik firmaları, aktif saldırılar dünya çapında güvenlik güncelleştirmesini henüz yüklememiş kuruluşları hedef alan çok sayıda tehdit aktöründen.
Bazı saldırılar, Netcat komut satırı ve oradan da Anydesk uzaktan oturum açma yazılımı gibi araçları yüklemek için güvenlik açığından yararlandı. Başarılı olduğunda, tehdit aktörleri ilk erişimi diğer tehdit gruplarına satar. Diğer saldırı grupları, Buhti olarak bilinen fidye yazılımını, Cobalt Strike ve RAT-el gibi istismar sonrası araçları ve casusluk için kullanılan kötü amaçlı yazılımları yüklemek için güvenlik açığından yararlandı.
Bitdefender araştırmacıları, “Bu güvenlik açığı, sistemleri en son güvenlik yamalarıyla güncel tutmanın ve aynı zamanda güçlü çevre savunması kullanmanın öneminin bir başka açık hatırlatıcısıdır” diye yazdı. “Birçok kuruluşun, kısmen uygun yama yönetimi ve risk yönetimi eksikliğinden dolayı eski açıklara karşı savunmasız olduğunu bildiklerinde, saldırganların yeni açıkları veya yeni teknikleri araştırmasına gerek kalmıyor.”
Zoho temsilcileri, bu gönderi için yorum isteyen bir e-postaya yanıt vermedi.
FortiNAC “büyük” saldırı altında
Bu arada CVE-2022-39952, bir ağa bağlı her cihazı tanımlayan ve izleyen bir ağ erişim kontrolü çözümü olan FortiNAC’ta bulunur. Büyük kuruluşlar FortiNAC’ı endüstriyel kontrol sistemleri, BT cihazları ve Nesnelerin İnterneti cihazlarındaki operasyonel teknoloji ağlarını korumak için kullanır. olarak bilinen güvenlik açığı sınıfı dosya adının veya yolunun harici kontrolükimliği doğrulanmamış saldırganların bir sisteme rasgele dosyalar yazmasına ve oradan sınırsız kök ayrıcalıklarıyla çalışan uzaktan kod yürütmesine olanak tanır.
Fortinet güvenlik açığını yamaladı 16 Şubat’ta ve birkaç gün içinde, birden fazla kuruluştan araştırmacılar, aktif olarak istismar edildiğini bildirdi. Uyarılar, aşağıdakiler de dahil olmak üzere kuruluşlardan veya şirketlerden geldi: gölge sunucusu, KronupVe gri gürültü. Horizon3.ai bir kez daha derin dalış Bu, güvenlik açığının nedenini ve nasıl silah haline getirilebileceğini analiz etti.
Cronup’tan araştırmacılar, “Güvenliği ihlal edilmiş cihazlara daha sonra erişim için büyük Webshells (arka kapılar) kurulumunu tespit etmeye başladık” diye yazdı.
Güvenlik açığı, saldırganlara uzaktan komut verebilecekleri bir metin penceresi sağlayan farklı web kabukları yükleme girişimlerinde çok sayıda tehdit aktörü tarafından istismar ediliyor.
İçinde Blog yazısı Perşembe günü yayınlanan Fortinet CTO’su Carl Windsor, şirketin ürünlerinde güvenlik açıkları bulmak için düzenli olarak iç güvenlik denetimleri gerçekleştirdiğini söyledi.
Windsor, “Önemli olarak, bu iç denetimlerden biri sırasında Fortinet PSIRT ekibinin kendisi bu Uzaktan Kod Yürütme güvenlik açığını tespit etti,” diye yazdı. “Bu bulguyu hemen düzelttik ve çalışmamızın bir parçası olarak yayınladık. Şubat PSIRT danışmanlığı. (Danışmalarımıza abone değilseniz, açıklanan yöntemlerden birini kullanarak kaydolmanızı önemle tavsiye ederiz. Burada.) Fortinet PSIRT politikası, şeffaflık kültürümüzle müşterilerimizin güvenliğine olan bağlılığımızı dengeler.”
Son yıllarda, birkaç Fortinet ürünü aktif olarak kullanılmaya başlandı. 2021’de Fortinet’in FortiOS VPN’indeki üç güvenlik açığı (ikisi 2019’da ve bir yıl sonra yamalandı) Saldırganlar tarafından hedef alındı birden fazla hükümet, ticari ve teknoloji hizmetine erişmeye çalışmak. Geçen Aralık ayında bilinmeyen bir tehdit aktörü farklı bir kritik güvenlik açığından yararlandı FortiOS SSL-VPN’de hükümete ve hükümetle ilgili kuruluşlara gelişmiş özel yapım kötü amaçlı yazılım bulaştırmak için. Fortinet, güvenlik açığını Kasım ayı sonlarında sessizce düzeltti, ancak vahşi saldırılar başlayana kadar bunu açıklamadı. Şirket, ürünlerindeki güvenlik açıklarını ifşa etme politikasının nedenini veya nedenini henüz açıklamadı.
Son yıllardaki saldırılar, saldırganları korumalı ağlardan uzak tutmak için tasarlanan güvenlik ürünlerinin, şirketler bunları açıklamadığında veya daha yakın zamanda müşteriler güncellemeleri yükleyemediğinde özellikle tehlikeli olabilen iki ucu keskin bir kılıç olabileceğini gösteriyor. ManageEngine veya FortiNAC kullanan ağları yöneten veya denetleyen herkes, savunmasız olup olmadıklarını hemen kontrol etmelidir. Yukarıda bağlantısı verilen araştırma gönderileri, insanların hedef alınıp alınmadığını belirlemek için kullanabilecekleri zengin göstergeler sağlar.