Şu an okuyorsunuz: Hackerlar FortiGate ve Darbe Güvenli VPN Kimlik Bilgilerini Aktif Olarak Hedefliyor
- FortiGate ve Pulse Secure VPN ürünlerinizi güncellemek için acil bir uyarı son bir dolaşımda bulunuyor.
- Aktörler, artık halka açık bir yararlanma kodu kullanıyor ve aktif olarak savunmasız sistemleri araştırıyor.
- Saldırı tam ağ nüfuzuna yol açtığı için saldırıya uğramanın sonuçları korkunçtur.
ArsTechnica uyardı bilgisayar korsanlarının aktif olarak iki kurumsal VPN (Sanal Özel Ağ) ürününden (Pulse Secure SSL VPN ve FortiGate SSL VPN) şifreleme anahtarlarını, şifrelerini ve kullanıcı kimlik bilgilerini çalmaya çalıştığını söyledi. Bu etkinlikle ilgili vahiy Devcore’daki ayın başında geldi. Black Hat konferans sunumu Bu, sürmekte olan tarama ve sahtekarların savunmasız sunucuları bulma çabasıyla ilgili verileri gösterdi. Toplu olarak bu iki ürün toplam 530 bin makineye kuruluyor, bu nedenle sorun şu anda büyük bir sorun.
Devcore araştırmacıları, zaten CVE-2018-13379, CVE-2019-11539, CVE-2018-13383 (sihirli arka kapı) ve CVE-2019-11510 olarak indekslenmiş olan aktörler tarafından kullanılan istismarları belirledi. Bu, ürün satıcıları tarafından serbest bırakılan yamalar sayesinde kusurların giderildiği, ancak birçok makinenin yamalarının kalmaması nedeniyle, aktörlerin tarama ve kullanma çabalarını sürdürmeleri için bir nedenleri olduğu anlamına gelir. Bir araştırmacının Ars’a söylediği gibi: “Bu taramalar, özel anahtarların ve kullanıcı şifrelerinin hassas bilgilerin ifşa edilmesine yol açan keyfi dosya okumalarına açık olan uç noktaları hedef alıyor. Kimlik bilgilerini çalmak için `etc / passwd dosyasının içeriğini okumak için bu güvenlik açığından yararlanıyorlar. Bu bilgiler daha sonra daha fazla komuta enjeksiyon saldırısı yapmak ve daha fazla kötü niyetli faaliyete izin vermek için özel ağa erişmek için kullanılabilir. ”
Araştırmacı grubu, güvenlik açıklarından nasıl yararlanıldığını bulmak için bazı saldırıları kaydetmek için BinaryEdge tarafından sağlanan bir bal küpü kullandı. Saldırganın yakaladıkları IP adresi, bir bilinen aktör 90 defadan fazla istismar olduğu bildirildi. Sömürü için kullanılan kod halka açık hale geldi 21 Ağustos’tan bu yana Paket Fırtına’da olduğu gibi, bal peteği sunucusu elbette daha fazla IP yakaladı;
resim kaynağı: arstechnica.com
resim kaynağı: arstechnica.comSabit kodlu anahtarların çalınması, uzaktaki saldırganların sunucu şifrelerini değiştirmesini sağlayabilir ve tam ağ girişi bu durumda merkezi risk olarak kalır. Basitçe söylemek gerekirse, bir FortiGate veya Pulse Secure VPN ürünü kullanıyorsanız ve henüz güncellemediyseniz, mevcut tüm yamaları en kısa zamanda uyguladığınızdan emin olun. Bahsettiğimiz gibi, şu anda aktif olarak savunmasız sistemleri arayan çok sayıda kötü niyetli oyuncu var ve artık onu riske atmak istemiyorsunuz. Daha fazla güvenlik için, tam günlük denetimini etkinleştirin ve bağlı olmayan bir sunucuya gönderin, çok faktörlü kimlik doğrulamayı ve ayrıca istemci sertifikası kimlik doğrulamasını etkinleştirin.
Yukarıdaki güvenlik önlemlerini zaten uyguladınız mı? Yorumlarınızı aşağıdaki bölümde bizimle paylaşın veya sosyal medya tartışmalarımıza katılın. Facebook ve Twitter.
