Fortinet Açıkları Qilin Fidye Yazılımı Saldırılarına Zemin Hazırlıyor

Siber güvenlik dünyası, Fortinet ürünlerinde tespit edilen kritik açıkların kötü niyetli gruplar tarafından kullanılmasına bir kez daha tanıklık ediyor. Qilin fidye yazılımı grubu, FortiGate cihazlarında yer alan güvenlik açıklarını kullanarak çok sayıda kurumu hedef alıyor.

Qilin Grubu Fortinet Açıklarıyla Saldırılarını Yaygınlaştırıyor

Qilin fidye yazılımı grubu, siber tehdit dünyasında “Phantom Mantis” ya da eski adıyla “Agenda” olarak biliniyor. İlk olarak Ağustos 2022’de ortaya çıkan grup, bugüne kadar karanlık internet ortamında 310’dan fazla kurbanın verilerini sızdırdığını duyurdu. Bu kurbanlar arasında otomotiv devi Yangfeng, yayıncılık şirketi Lee Enterprises, Avustralya’daki Court Services Victoria ve İngiltere merkezli patoloji hizmet sağlayıcısı Synnovis gibi dikkat çekici isimler bulunuyor. Synnovis’e yapılan saldırı, Londra’daki birçok NHS hastanesinin randevularını ve ameliyatlarını iptal etmesine neden oldu.

Tehdit istihbaratı şirketi PRODAFT, Qilin grubunun Fortinet ürünlerindeki yeni açıkları kullanarak otomatikleştirilmiş saldırılar gerçekleştirdiğini açıkladı. Şirketin paylaştığı uyarıya göre, saldırılarda özellikle CVE-2024-21762 ve CVE-2024-55591 kodlu güvenlik açıkları kullanılıyor. Bu açıklar, saldırganlara kimlik doğrulama adımlarını aşma ve uzaktan kötü amaçlı kod çalıştırma imkânı veriyor.

PRODAFT’ın elde ettiği veriler, saldırganların şu an özellikle İspanyolca konuşulan ülkelere yoğunlaştığını gösteriyor. Ancak bu bölgesel eğilime rağmen, Qilin grubunun kurbanlarını belirlerken katı bir coğrafi ya da sektörel sınırlamaya gitmediği belirtiliyor. Saldırılar genellikle fırsat odaklı ilerliyor.

Söz konusu güvenlik açıklarından CVE-2024-55591, daha önce Mora_001 fidye yazılımı operatörü tarafından da kullanıldı. Bu açık sayesinde, SuperBlack isimli fidye yazılımı dağıtıldı. SuperBlack, siber suç dünyasında kötü şöhretli LockBit grubuyla bağlantılı bir tehdit olarak biliniyor.

Diğer açık olan CVE-2024-21762 ise Şubat ayında Fortinet tarafından yamalandı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu güvenlik açığını aktif şekilde istismar edilenler listesine dahil etti ve devlet kurumlarına FortiOS ile FortiProxy cihazlarını 16 Şubat’a kadar güvenli hâle getirmeleri talimatını verdi. Ancak Shadowserver Foundation’ın açıklamasına göre, mart ayı itibarıyla dünya genelinde yaklaşık 150.000 cihaz bu açıktan hâlâ etkileniyor.

Fortinet ürünlerindeki güvenlik açıkları, son yıllarda hem fidye yazılımı grupları hem de devlet destekli hackerlar tarafından istismar edildi. Örneğin Şubat ayında Çin merkezli Volt Typhoon grubu, FortiOS SSL VPN’e ait iki eski güvenlik açığını kullanarak Coathanger isimli özel erişim truva atını dağıttı. Bu zararlı yazılım, Hollanda Savunma Bakanlığı’na bağlı bir askeri ağa sızmak için kullanılmıştı.

Siber güvenlik uzmanları, Fortinet ürünlerinin düzenli şekilde güncellenmesi gerektiğini vurguluyor. Kurumların, özellikle internete açık güvenlik duvarları başta olmak üzere ağ cihazlarını sıkı şekilde denetlemesi gerekiyor. Güncellemelerin yapılmaması, saldırganlar için büyük fırsat yaratıyor.