Fortinet Zero-Day CVE-2022-42475: BoldMove Malware

Araştırmacılar, Fortinet'in FortiGate güvenlik duvarlarında çalışmak üzere özel olarak oluşturulmuş “BoldMove” olarak isimlendirdikleri yeni bir zararlı yazılım keşfetti.

1.24.2023

Fortinet Zero-Day CVE-2022-42475: BoldMove Malware

Zararlı yazılımın hükümetle bağlantılı kişi ve gruplara karşı siber casusluk operasyonları yürüten ve Çin merkezli bir tehdit aktörü tarafından oluşturulduğu tahmin ediliyor.

BoldMove Malware Nedir?

Kasım ayında Fortinet, CVE-2022-42475 olarak tanımlanan güvenlik açığını kapatmıştı. Zafiyet, Aralık ayında Fortinet tarafından kamuoyuna açıklanmış ve şirket, zafiyetin tehdit aktörleri tarafından aktif olarak kullanılmasından dolayı kullanıcılarını cihazları güncellemeleri gerektiği hakkında uyarmıştı.

CVE-2022-42475’in, Fortinet'in FortiOS ve FortiProxy teknolojilerinin farklı sürümlerinde bulunduğu ve kimliği doğrulanmamış bir saldırganın zafiyetli sistemlerde rastgele kod çalıştırmasına olanak tanıdığı tespit edilmişti.

Mandiant'ın BoldMove olarak nitelendirdiği zararlı yazılımın CVE-2022-42475 zafiyetini istismar edebildiği görüldü. Avrupa’da bir devlet kurumu ve Afrika'da bir hizmet sağlayıcısı Ekim 2022’den bu yana “BoldMove” zararlı yazılımının hedefi oldu ve bu istismar Aralık 2022'de fark edildi.

BoldMove, tehdit aktörünün backdoor oluşturmasını sağlayan C dilinde programlanmış bir zararlı yazılımdır. FortiOS üzerinde çalışacak şekilde özelleştirilmiş Windows ve Linux sürümleri bulunmaktadır. Windows sürümüyle ilgili herhangi bir istismar etkinliği bulunmamaktadır.

BoldMove zararlı yazılımının Linux varyantı, çalıştırıldıktan sonra sabit kodlu bir komut ve kontrol (C2) sunucusuyla bağlantı kurmaya çalıştığı belirlendi. Bağlantı başarılı olduğunda hedef hakkında bilgi toplayarak C2 sunucusuna gönderebilmektedir. C2 sunucusu ise toplanan verileri zararlı yazılıma iletmektedir. Sonuç olarak tehdit aktörü, güvenliği ihlal edilmiş FortiOS cihazının uzaktan kontrolünü ele geçirebilmektedir.

BoldMove Kötü Amaçlı Yazılımının DiğerYetenekleri

BoldMove'un Linux sürümü, belirli FortiOS özelliklerini değiştirme yeteneklerine sahiptir.

Fortinet ayrıca kötü amaçlı yazılımı "jenerik" bir Linuxbackdoor’unu FortiOS'a özgü bir çeşidi olarak tanımladı. Şirketin analizine göre kötü amaçlı dosya, güvenliği ihlal edilmiş sistemlerde Fortinet'in IPS motorunun bir bileşeni gibi görünebilmektedir.

BoldMove şunları da yapabilir:

  • Kendini gizlemek için FortiOS günlüklerini değiştirebilir.
  • BoldMove, günlüklerin yeniden oluşturulmasını sağlayan belirli bir diziyi silebilir.
  • Tüm giriş kaydı işlemlerini sonlandırabilir.

Hangi Ürünler ve Sürümler Etkileniyor?

BoldMove, CVE-2022-42475 güvenlik açığından etkilenen tüm ürünleri ve sürümleri istismar edebilir. Bu ürünler ve sürümler aşağıdaki gibidir.

  • FortiOS versions 7.2.0 through 7.2.2
  • FortiOS versions 7.0.0 through 7.0.8
  • FortiOS versions 6.4.0 through 6.4.10
  • FortiOS versions 6.2.0 through 6.2.11
  • FortiOS-6K7K versions 7.0.0 through 7.0.7
  • FortiOS-6K7K versions 6.4.0 through 6.4.9
  • FortiOS-6K7K versions 6.2.0 through 6.2.11
  • FortiOS-6K7K versions 6.0.0 through 6.0.14

İstismar Nasıl Engellenir?

Ağ isteklerini tüm dahili ağa göndermek ve sanal olarak diğer cihazlara yaymak için istekleri dahili Fortinet hizmetlerine gönderebilir.

Etkileşim gerektirmeden basit ağ erişimi sağladıkları için, tehdit aktörleri güvenlik duvarları ve IPS/IDS cihazları gibi yama uygulanmamış internete bakan cihazları hedeflemeye devam edecektir.

Mandiant, yerel güvenlik mekanizmalarının bu cihazları etkili bir şekilde korumadığını ve savunucuların bu cihazlarda hangi işlemlerin çalıştığını incelemesinin zor olduğunu iddia ediyor.

Bu nedenle, güvenlik açığını gidermek için tüm kullanıcıların etkilenen ürünlerin en son sürümlerine güncelleme yapması gerekmektedir. Yamalar hemen uygulanamazsa, kullanıcılara günlükleri kontrol etmeleri, VPN-SSL'yi devre dışı bırakmaları ve yalnızca belirli IP adreslerinden bağlantılara izin verecek erişim kuralları oluşturmaları önerilmektedir.

Orijinal Fortinet güvenlik rehberine buradan ulaşabilirsiniz.

IoCs

Basic:

MD5: 12e28c14bb7f7b9513a02e5857592ad7

SHA256: 3da407c1a30d810aaff9a04dfc1ef5861062ebdf0e6d0f6823ca682ca08c37da

Extended:

MD5: 3191cb2e06e9a30792309813793f78b6

SHA256: 0184e3d3dd8f4778d192d07e2caf44211141a570d45bb47a87894c68ebebeabb

Windows:

MD5: 54bbea35b095ddfe9740df97b693627b

SHA256: 61aae0e18c41ec4f610676680d26f6c6e1d4d5aa4e5092e40915fe806b679cd4

Tespit Edilen Son Güvenlik Açıkları

TÜM HABERLERİ GÖSTER