Fortinet FortiOS SSL-VPN Zero-Day Zafiyeti İstismar Edilemeye Devam Ediyor

Çinli hacker grubu China-nexus , FortiOS SSL-VPN zero-day güvenlik zafiyetini kullanarak bir Avrupa devlet kurumunu ve Afrika’da bulunan MSP sağlayıcısına saldırı düzenledi. Google’ın sahibi olduğu Mandiant tarafından toplanan telemetri verileri istismarın Ekim 2022’de güncellemenin yayınlanmasından en az yaklaşık iki ay önce gerçekleştiğini gösteriyor. Mandiant araştırmacıları yayınladığı teknik raporda , “Bu olay, Çin’in internete bakan cihazları, özellikle MPS hizmetleri (örneğin, güvenlik duvarları, IPS\IDS cihazları vb.) istismar etme modelini sürdürdüğünü gösteriyor” dedi. Saldırılar , BOLDMOVE adlı bir backdoor zararlısı kullanılarak gerçekleştirildiği belirtiliyor.

Fortinet yaptığı açıklamada “şu an için bilinmeyen bilgisayar korsanlığı gruplarının uzaktan yönetilebilen Linux implantıyla hükümetleri ve diğer büyük kuruluşları hedef alıyor” dedi. Mandiant’tan elde edilen son bulgularla saldırganların güvenlik açıklarını kendi avantajlarına kullanmayı ve casusluk operasyonlarında hedeflenen ağları ihlal etmeyi başardıklarını gösteriyor. BOLDMOVE, sistem üzerinde araştırma ve bilgi toplamak için tasarlanmış C2 sunucusundan komutlar alabiliyor ve bu da saldırganların dosya işlemleri gerçekleştirmesine, uzak shell oluşturmasına ve virüs bulaşmış serverlar aracılığıyla trafiği aktarmasına olanak tanıyabiliyor.

Kaynak: thehackernews.com