İranlı –devlet destekli olduğu iddia edilen– hackerların, Fortinet ve Microsoft Exchange Proxyshell açıklarını kullandığı iddia edildi. Avustralya, İngiltere ve ABD’nin siber güvenlik ajansları bugün bu konuda bir açıklama yaptılar[1].
Federal ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA) göre, İranlı hackerlar FortiOS’un çok sayıda güvenlik açığını mart 2021’den bu yana ve Microsoft Exchange uzaktan kod yürütme açığını en az ekim 2021’den bu yana kullanıyorlar.
Güvenlik ajanslarına göre, İranlı hackerlar bugüne kadar çok sayıda Amerikalı kritik altyapı şirketini ve Avustralyalı sağlık, ulaşım kuruluşlarını hedefledi.
CISA ve FBI, savunmasız ağlara erişim sağlamak için FortiOS kusurlarından yararlanmanın yanı sıra, bir ABD belediye web sunucusuna sızmak için başka bir hacker’ın mayıs 2021’de bir Fortigate cihazını kötüye kullandığını söyledi. Haziranda ise bir çocuk hastanesine sızmak için Fortigate cihazı kullanılmış.
Bu gelişme, ABD hükümetinin CVE-2018-13379, CVE-2020-12812 ve CVE-2019-5591’den yararlanarak devlete ve ticari kuruluşlara ait sistemlere sızmak için Fortinet FortiOS sunucularını hedef alan gelişmiş kalıcı tehdit grupları (APT) konusunda ikinci kez uyardığını gösteriyor.
Ajanslar, azaltıcı önlemler olarak, kuruluşlara yukarıda belirtilen güvenlik açıklarından etkilenen yazılımlara derhal yama yapmalarını, veri yedekleme ve geri yükleme prosedürlerini uygulamalarını, ağ segmentasyonu uygulamasını, hesapları çok faktörlü kimlik doğrulama ile güvenli hale getirmelerini ve işletim sistemlerini, yazılımları ve bellenimi güncellemeleri ve güncellemeleri sırasında düzeltmelerini tavsiye ediyor.