Fortinet Cihazlarında Kritik Güvenlik Açığı: 16.000’den Fazla Cihaz Etkilendi

Siber güvenlik uzmanları, 16.000’den fazla Fortinet cihazının kötü amaçlı yazılım bulaşmış durumda olduğunu tespit etti. “Symlink backdoor” adı verilen bu saldırı yöntemiyle saldırganların hassas dosyalara sürekli okuma erişimi sağladığı aktarıldı.

Saldırganlar Bu Yöntemle Fortinet Üzerinde Kalıcı Erişime Sahip Oluyor

Fortinet geçtiğimiz hafta yaptığı açıklamada, tehdit aktörlerinin daha önce ele geçirilmiş ancak yamaları uygulanmış FortiGate cihazlarında kök dosya sistemine okuma erişimi sağlayan yeni bir kalıcılık mekanizması kullandığını bildirdi. Şirket bu durumun yeni bir güvenlik açığından kaynaklanmadığını vurguladı.

Saldırganlar 2023’ten bu yana devam eden kampanyalarda FortiOS cihazlarını sıfırıncı gün açıklarıyla ele geçirdi. SSL-VPN özelliği etkin olan cihazlarda kök dosya sistemine sembolik bağlantılar oluşturdu. Dil dosyalarının herkese açık olması nedeniyle saldırganlar bu yöntemle cihazlara kalıcı erişim sağladı.

Fortinet bu ay içinde tespit edilen güvenliği ihlal edilmiş cihazların sahiplerine e-posta gönderdi. Şirket güncellenmiş AV/IPS imzası yayınlayarak kötü amaçlı sembolik bağlantıları tespit edip kaldırabileceklerini duyurdu. Firmware’in son sürümü de bu bağlantıları algılayıp kaldırabilecek şekilde güncellendi. Ayrıca yerleşik web sunucusunun bilinmeyen dosya ve klasörleri sunması engellendi.

Güvenliği ihlal edilen cihazlarda saldırganların yapılandırma dosyalarına ve kimlik bilgilerine erişmiş olma ihtimali bulunuyor. Bu nedenle tüm şifrelerin sıfırlanması ve Fortinet’in önerdiği diğer adımların uygulanması gerekiyor.