Siber güvenlik dünyasında yeni bir tehdit yükseliyor. Fortinet güvenlik cihazlarında tespit edilen kritik zafiyetler, Mora_001 adlı fidye yazılımı grubunun ortaya çıkmasına ve sistemlere sızarak büyük ölçekli saldırılar gerçekleştirmesine neden oldu. Forescout araştırmacıları, bu grubun 2025’in başlarından itibaren siber saldırılar düzenlediğini belirledi.
Zafiyetler Nasıl Sömürüldü?
Mora_001, Fortinet cihazlarındaki iki büyük güvenlik açığını kullanarak sistemlere erişim sağladı. CVE-2024-55591 ve CVE-2025-24472 olarak tanımlanan bu zafiyetler, saldırganların kimlik doğrulama aşamalarını atlayarak sistemlere sızmasına olanak tanıdı. Özellikle CVE-2024-55591’in Aralık 2024 itibarıyla aktif olarak istismar edildiği belirtilirken, CVE-2025-24472’nin de sonradan güvenlik danışmanlığına eklendiği bildirildi.
Bu açıkları kullanan saldırganlar, ilk olarak sistemlere yönetici haklarıyla giriş yaptı. Ardından, mevcut yönetici hesaplarına benzeyen yeni hesaplar oluşturarak erişimlerini gizlemeyi başardılar. Fortinet cihazları üzerinden VPN kullanıcılarının hesap bilgilerine ulaşan saldırganlar, ağ içinde geniş çaplı bir yayılma stratejisi izledi.
SuperBlack Fidye Yazılımı Tehdidi
Mora_001 grubu, sistemlere sızdıktan sonra LockBit 3.0 veya LockBit Black tabanlı olduğu düşünülen SuperBlack fidye yazılımını devreye soktu. Yapılan analizler, SuperBlack’in daha önceki BlackMatter ve BrainCipher saldırılarıyla ilişkilendirilen veri silme özelliklerine sahip olduğunu gösterdi. Ayrıca, fidye yazılımı bazı şifreleme teknikleri ve veri sızdırma yöntemleri açısından LockBit ile büyük benzerlikler taşıyor.
Araştırmalara göre, Mora_001 grubunun LockBit ile bağlantısı yalnızca kullanılan yazılım kodlarıyla sınırlı değil. Kurbanlarla iletişim kurmak için kullanılan qTox ID’nin, daha önce LockBit saldırılarında da kullanıldığı tespit edildi. Bu durum, Mora_001’in LockBit grubundan ayrılan ya da onunla iş birliği içinde olan bir oluşum olabileceğini düşündürüyor.
Fortinet Kullanıcıları İçin Kritik Uyarılar
Forescout araştırmacıları, Fortinet cihazlarını kullanan şirketlerin bu güvenlik açıklarına karşı önlem almaları gerektiğini belirtiyor. Ocak 2025 itibarıyla Hindistan ve ABD’deki birçok Fortinet cihazının hâlâ CVE-2024-55591 için gerekli yamayı uygulamadığı ifade ediliyor. Bu nedenle, şirketlerin aşağıdaki adımları acilen hayata geçirmesi öneriliyor:
- Güvenlik yamaları vakit kaybetmeden uygulanmalıdır.
- Yönetici hesapları gözden geçirilerek yetkisiz erişimler tespit edilmelidir.
- VPN kullanıcılarının hesapları incelenmelidir.
- Gereksiz dış yönetim erişimi devre dışı bırakılmalıdır.
Siber güvenlik uzmanları, Fortinet cihazlarını kullanan şirketlerin bu tür saldırılara karşı daha dikkatli olmaları gerektiğini vurguluyor. Mora_001 gibi tehdit gruplarının sistemlere sızmasını önlemek için güvenlik açıklarının zamanında yamalanması ve sistemlerin sürekli güncel tutulması kritik öneme sahip.