LATAM Altyapısı Tehlikede: Fortinet ve Ivanti Açıkları Hedef Alındı Yazılım

LATAM Altyapısı Tehlikede: Fortinet ve Ivanti Açıkları Hedef Alındı

Latin Amerika'da hükümet ve finans kurumlarını hedef alan siber saldırıda Fortinet ve Ivanti açıkları kullanıldı. CloudSEK analiziyle ortaya çıkan ope

Latin Amerika genelinde hükümet ve finans kurumlarını hedef alan koordineli bir siber saldırı kampanyası, saldırganların kendi hatasıyla ortaya çıktı. CloudSEK güvenlik firmasının analizine göre, saldırganlar bir hazırlık sunucusunu internete açık bırakınca, araştırmacılar bu sunucudaki açık dizini keşfederek saldırganların araç setini haritalandırdı. CloudSEK'in "Operation Escaneo" adını verdiği bu kampanya, başta Meksika olmak üzere Ekvador ve Portekiz'deki kritik altyapıları hedef aldı.

Saldırı, hükümet kurumları, vergi daireleri, kamu hizmetleri, ulaşım, telekomünikasyon ve bankalar gibi geniş bir yelpazeyi kapsıyor. CloudSEK, en az beş kurbandan gelen sinyalleri doğruladı ve büyük ölçekli veri hırsızlığı tespit etti. Saldırganlar, özellikle internete açık güvenlik cihazlarını hedef alarak ağlara sızdı.

Saldırganlar, Fortinet FortiOS SSL-VPN'deki CVE-2022-42475 ve CVE-2024-21762 ile Ivanti Connect Secure'deki CVE-2023-46805, CVE-2024-21887 ve CVE-2025-0282 gibi açıkları kullandı. Kamuya açık istismar kodlarını (PoC) hedef sistemi çökertmeyecek şekilde uyarladılar. Ayrıca Apache Tomcat'teki GhostCat, Windows'taki EternalBlue ve Zerologon ile Log4Shell gibi açıklardan da yararlandılar.

Tüm bu saldırılar, saldırganların "Kimera" adını verdiği özel bir keşif motoru tarafından besleniyordu. CloudSEK'e göre Kimera, hedefleri yüksek hızda tarayıp önceliklendiriyor ve doğrudan istismar aşamasına aktarıyordu. Saldırganlar, Neo-reGeorg web shell'leri ile web sunucularında şifreli tutunma noktaları oluştururken, Chisel ters tünelleri ile HTTP üzerinden trafik taşıdı. Ayrıca ele geçirilmiş bir Cisco yönlendiriciye, ana bilgisayar tabanlı savunmaların göremediği bir GRE tüneli yerleştirdiler.

Nasıl Önlem Alınmalı?

Saldırganlar, ağlara sızdıktan sonra SAP ve Oracle sistemlerine erişerek komut çalıştırdı ve büyük miktarda hassas veriyi dışarı sızdırdı. Bir ulaşım sağlayıcısından 1,3 milyondan fazla kişisel kayıt, bir kurbana ait 407 MB boyutunda Active Directory haritası, SSL özel anahtarları, SAP servis hesabı hash'leri ve tarayıcıda saklanan şifreler ele geçirildi.

Sonuç ve Değerlendirme

CloudSEK, bu kampanyayı orta düzeyde güvenle 'Mexican Mafia' veya 'Pancho Villa' olarak bilinen bir gruba atfediyor. Bu grup, 2024 yılı boyunca Meksika hükümeti, yargı ve enerji hedeflerine yönelik ihlaller üstlenmişti. Ancak CloudSEK, grubun geçmişteki bazı iddialarının ilgili kuruluşlar tarafından yalanlandığını belirterek bu bağlantıyı temkinli değerlendiriyor.

Ne olursa olsun, CloudSEK Latin Amerika kuruluşlarına öncelikle Fortinet ve Ivanti açıklarını kapatmalarını ve operasyonun daha sessiz işaretlerine karşı dikkatli olmalarını öneriyor. Bunlar arasında harici adreslere yönelen GRE tünelleri, Chisel'in TCP-over-HTTP trafiği ve SAP/Oracle üzerinden beklenmedik komut çalıştırılması yer alıyor. Kuruluşların bu tür tehditlere karşı proaktif bir güvenlik duruşu benimsemeleri kritik önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: