فورتینت, یک روش جدید بهرهبرداری توسط مهاجمان را شناسایی کرده است که با استفاده از آسیبپذیریهای شناختهشده، دسترسی Read-only به دستگاههای FortiGate ایجاد میکنند. در این خبر، جزئیات تهدید، نحوه شناسایی و اقدامات امنیتی ارائه شده است.
فورتینت، یک روش جدید بهرهبرداری توسط مهاجمان را شناسایی کرده است که با استفاده از آسیبپذیریهای شناختهشده، دسترسی Read-only به دستگاههای FortiGate ایجاد میکنند.
اخیراً، حوادثی رخ داده است که نشان میدهد مهاجمان سایبری بهطور فعال از برخی آسیبپذیریهای شناختهشده بهرهبرداری میکنند. تحقیقات فورتینت کشف کرده است که یک مهاجم (Threat Actor) تکنیک پس از بهرهبرداری (Post Exploitation) جدیدی را برای ماندگاری دسترسی Read-only به دستگاههای FortiGate استفاده میکند.
جزئیات فنی و نحوه بهرهبرداری
در روند بررسی، مشخص شد که مهاجم از آسیبپذیریهای شناختهشدهای (نظیر FG-IR-22-398، FG-IR-23-097، FG-IR-24-015) برای نفوذ اولیه به دستگاههای فورتینت استفاده میکند. سپس، با ایجاد یک لینک نمادین (Symbolic Link)، سیستم فایل کاربر (User Filesystem) را به سیستم فایل ریشه (Root Filesystem) متصل میکند. از آنجا که این تغییر در پوشهای مربوط به فایلهای زبان (Language Files) برای SSL-VPN اتفاق میافتد، ممکن است از شناسایی اولیه پنهان بماند.
این لینک نمادین حتی پس از بروزرسانی دستگاه به نسخههای مرتفعکننده آسیبپذیریها، قابلیت باقی ماندن دارد و به مهاجم اجازه میدهد تا بهصورت Read-only به فایلهای سیستم (شامل پیکربندیها) دسترسی داشته باشد. اگر SSL-VPN هرگز روی دستگاه فعال نبوده باشد، مشکل فوق تأثیری بر روی آن دستگاه نخواهد داشت.
بر اساس دادههای تلهمتری داخلی فورتینت و همکاری با سازمانهای ثالث، این اقدام مهاجمان محدود به صنعت یا منطقه جغرافیایی خاصی نبوده و انتشار آن گسترده بوده است.
اقدامات فورتینت برای کاهش مخاطره (Mitigation)
ایجاد پروفایل AV/IPS: با هدف شناسایی و حذف لینک نمادین مخرب از دستگاههای آسیبدیده.
تغییرات در نسخههای جدید: در آخرین آپدیتهای FortiOS، مکانیزمهایی برای تشخیص و حذف لینک نمادین اضافه شده و SSL-VPN بهگونهای بهروزرسانی شده که تنها فایلهای مجاز را سرویسدهی کند.
اطلاعرسانی پیشگیرانه: فورتینت با انجام ارتباطات مستقیم با مشتریان و انتشار راهنماهای امنیتی، آنها را به بهروزرسانی دستگاهها تشویق کرده است. این اطلاعرسانی با در نظر گرفتن ملاحظات امنیتی برای جلوگیری از استفاده ناخواسته مهاجمان صورت گرفته است.
نسخههای دارای راهکار برای حذف لینک نمادین و جلوگیری از سوءاستفاده
FortiOS 7.4، 7.2، 7.0، 6.4: لینک نمادین توسط موتور آنتیویروس/IPS شناسایی و در صورت فعال بودن به صورت خودکار حذف میشود.
FortiOS 7.6.2، 7.4.7، 7.2.11، 7.0.17، 6.4.16: بهروزرسانی به این نسخه نهتنها لینک نمادین مخرب را حذف میکند، بلکه رابط کاربری SSL-VPN را نیز تغییر داده تا دیگر چنین لینکهایی سرویسدهی نشوند.
توصیههای مهم برای کاربران FortiGate
- بهروزرسانی فوری به نسخههای 7.6.2، 7.4.7، 7.2.11، 7.0.17 یا 6.4.16. (برای دانلود به این لینک مراجعه کنید)
- بررسی پیکربندی تمامی دستگاهها: هرگونه نشانه مشکوک یا تغییرات غیرعادی را رصد کنید.
- فرض آسیبپذیری بالقوه در کل پیکربندی: جهت بازیابی و پاکسازی، حتماً مراحل پیشنهادی را در این لینک دنبال کنید.
نتیجهگیری
فورتینت با توجه به تعهد خود به امنیت مشتریان و اصل شفافیت مسئولانه، ضمن برطرفسازی سریع آسیبپذیریها و ارائه توصیههای لازم، اطلاعات این حمله را منتشر کرده است. تمام سازمانها و کاربران استفادهکننده از دستگاههای FortiGate توصیه میشود هرچه سریعتر دستگاههای خود را به نسخههای امن ارتقا دهند و تنظیمات را مطابق دستورالعملهای اعلامی بررسی کنند.
با رعایت نکات گفتهشده و انجام بهموقع بهروزرسانیها، میتوان ریسک تهدیدات احتمالی را به حداقل رساند و امنیت زیرساختهای سایبری را تضمین کرد.