دوشنبه ۲۵ فروردین ۱۴۰۴
کد خبر : ۳۳
دوشنبه ۲۵ فروردین ۱۴۰۴
تکنیک جدید سوء استفاده از آسیب پذیری های فورتی گیت
فورتی‌نت, یک روش جدید بهره‌برداری توسط مهاجمان را شناسایی کرده است که با استفاده از آسیب‌پذیری‌های شناخته‌شده، دسترسی Read-only به دستگاه‌های FortiGate ایجاد می‌کنند. در این خبر، جزئیات تهدید، نحوه شناسایی و اقدامات امنیتی ارائه شده است.

 

فورتی‌نت، یک روش جدید بهره‌برداری توسط مهاجمان را شناسایی کرده است که با استفاده از آسیب‌پذیری‌های شناخته‌شده، دسترسی Read-only به دستگاه‌های FortiGate ایجاد می‌کنند. 

اخیراً، حوادثی رخ داده است که نشان می‌دهد مهاجمان سایبری به‌طور فعال از برخی آسیب‌پذیری‌های شناخته‌شده بهره‌برداری می‌کنند. تحقیقات فورتی‌نت کشف کرده است که یک مهاجم (Threat Actor) تکنیک پس از بهره‌برداری (Post Exploitation) جدیدی را برای ماندگاری دسترسی Read-only به دستگاه‌های FortiGate استفاده می‌کند.

 

جزئیات فنی و نحوه بهره‌برداری

در روند بررسی، مشخص شد که مهاجم از آسیب‌پذیری‌های شناخته‌شده‌ای (نظیر FG-IR-22-398، FG-IR-23-097، FG-IR-24-015) برای نفوذ اولیه به دستگاه‌های فورتی‌نت استفاده می‌کند. سپس، با ایجاد یک لینک نمادین (Symbolic Link)، سیستم فایل کاربر (User Filesystem) را به سیستم فایل ریشه (Root Filesystem) متصل می‌کند. از آنجا که این تغییر در پوشه‌ای مربوط به فایل‌های زبان (Language Files) برای SSL-VPN اتفاق می‌افتد، ممکن است از شناسایی اولیه پنهان بماند.

این لینک نمادین حتی پس از بروزرسانی دستگاه به نسخه‌های مرتفع‌کننده آسیب‌پذیری‌ها، قابلیت باقی ماندن دارد و به مهاجم اجازه می‌دهد تا به‌صورت Read-only به فایل‌های سیستم (شامل پیکربندی‌ها) دسترسی داشته باشد. اگر SSL-VPN هرگز روی دستگاه فعال نبوده باشد، مشکل فوق تأثیری بر روی آن دستگاه نخواهد داشت.

بر اساس داده‌های تله‌متری داخلی فورتی‌نت و همکاری با سازمان‌های ثالث، این اقدام مهاجمان محدود به صنعت یا منطقه جغرافیایی خاصی نبوده و انتشار آن گسترده بوده است.

 

اقدامات فورتی‌نت برای کاهش مخاطره (Mitigation)

ایجاد پروفایل AV/IPS: با هدف شناسایی و حذف لینک نمادین مخرب از دستگاه‌های آسیب‌دیده.

تغییرات در نسخه‌های جدید: در آخرین آپدیت‌های FortiOS، مکانیزم‌هایی برای تشخیص و حذف لینک نمادین اضافه شده و SSL-VPN به‌گونه‌ای به‌روزرسانی شده که تنها فایل‌های مجاز را سرویس‌دهی کند.

اطلاع‌رسانی پیشگیرانه: فورتی‌نت با انجام ارتباطات مستقیم با مشتریان و انتشار راهنماهای امنیتی، آن‌ها را به به‌روزرسانی دستگاه‌ها تشویق کرده است. این اطلاع‌رسانی با در نظر گرفتن ملاحظات امنیتی برای جلوگیری از استفاده ناخواسته مهاجمان صورت گرفته است.

 

نسخه‌های دارای راهکار برای حذف لینک نمادین و جلوگیری از سوءاستفاده

FortiOS 7.4، 7.2، 7.0، 6.4: لینک نمادین توسط موتور آنتی‌ویروس/IPS شناسایی و در صورت فعال بودن به صورت خودکار حذف می‌شود.

FortiOS 7.6.2، 7.4.7، 7.2.11، 7.0.17، 6.4.16: به‌روزرسانی به این نسخه نه‌تنها لینک نمادین مخرب را حذف می‌کند، بلکه رابط کاربری SSL-VPN را نیز تغییر داده تا دیگر چنین لینک‌هایی سرویس‌دهی نشوند.

 

توصیه‌های مهم برای کاربران FortiGate

  • به‌روزرسانی فوری به نسخه‌های 7.6.2، 7.4.7، 7.2.11، 7.0.17 یا 6.4.16. (برای دانلود به این لینک مراجعه کنید)
  • بررسی پیکربندی تمامی دستگاه‌ها: هرگونه نشانه مشکوک یا تغییرات غیرعادی را رصد کنید.
  • فرض آسیب‌پذیری بالقوه در کل پیکربندی: جهت بازیابی و پاکسازی، حتماً مراحل پیشنهادی را در این لینک دنبال کنید.

 

نتیجه‌گیری

فورتی‌نت با توجه به تعهد خود به امنیت مشتریان و اصل شفافیت مسئولانه، ضمن برطرف‌سازی سریع آسیب‌پذیری‌ها و ارائه توصیه‌های لازم، اطلاعات این حمله را منتشر کرده است. تمام سازمان‌ها و کاربران استفاده‌کننده از دستگاه‌های FortiGate توصیه می‌شود هرچه سریع‌تر دستگاه‌های خود را به نسخه‌های امن ارتقا دهند و تنظیمات را مطابق دستورالعمل‌های اعلامی بررسی کنند.

با رعایت نکات گفته‌شده و انجام به‌موقع به‌روزرسانی‌ها، می‌توان ریسک تهدیدات احتمالی را به حداقل رساند و امنیت زیرساخت‌های سایبری را تضمین کرد.

https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
تعداد بازدید : ۲۹۹
پایان خبر/
اشتراک در
کلیدواژه ها: فورتی‌نت ,Fortinet ,امنیت سایبری ,Cybersecurity ,آسیب‌پذیری ,Vulnerability ,فورتی گیت ,sslvpn, ssl vpn,
تاریخ ویرایش خبر : ۲۶ فروردین ۱۴۰۴
تاریخ انتشار: ۲۵ فروردین ۱۴۰۴
امتیاز را وارد کنید
تعداد کاراکتر باقیمانده: 500
نظر خود را وارد کنید