پس از افشای آسیبپذیریهای مهم، بسیاری از سازمانها در سراسر جهان نسبت به ادامه استفاده از قابلیت SSL VPN Tunnel Mode دچار تردید شدهاند در این مقاله به بررسی سه سناریو کاربردی میپردازیم.
بررسی امنیتی SSL VPN Tunnel Mode در FortiGate
تحلیل سناریوها، واقعیتهای فنی، و چرایی حذف این قابلیت در نسخههای آینده
مقدمه
SSL VPN در حالت Tunnel Mode یکی از متداولترین راهکارهای پیادهسازی دسترسی راهدور در ساختارهای FortiGate است. با این حال، از سال ۲۰۲۲ تا ۲۰۲۴، مجموعهای از آسیبپذیریهای بحرانی (CVE-2022-42475، CVE-2023-27997 و CVE-2024-21762) این قابلیت را به یکی از نقاط ضعف ساختاری Fortinet تبدیل کردهاند. آنچه باعث پیچیدگی موضوع میشود، نه صرف وجود این آسیبپذیریها، بلکه ابهام در امنیت واقعی Tunnel Mode حتی پس از بهروزرسانی یا اعمال محدودیت دسترسی است.
در این مقاله، سه سناریوی فنی متداول را تحلیل میکنیم، یافتههای PSIRT و مستندات Fortinet را بررسی مینماییم، و دلایل حذف تدریجی SSL VPN Tunnel Mode در نسخههای جدید را واکاوی خواهیم کرد.
سناریوی ۱: استفاده از Tunnel Mode در نسخه آسیبپذیر با محدودیت IP
سؤال:
اگر FortiGate هنوز در نسخهای قرار دارد که در برابر یک CVE مشخص (مثلاً CVE-2024-21762) آسیبپذیر است، اما دسترسی به SSL VPN فقط برای چند IP خاص مجاز شده باشد، آیا حمله همچنان ممکن است؟
تحلیل:
طبق گزارش رسمی PSIRT برای CVE-2024-21762، آسیبپذیری مربوط به Out-of-Bounds Write (CWE-787) بوده که امکان اجرای کد از راه دور را برای مهاجم ناشناس فراهم میسازد، صرفاً از طریق ارسال HTTP Request ساختگی – بدون نیاز به احراز هویت یا بررسی آدرس IP.
نتیجه فنی:
محدودسازی IP در سطح SSL VPN تنها بهعنوان کنترل دسترسی عمل میکند و نه در مسیر پردازش اولیه درخواست؛ بنابراین برای آسیبپذیریهایی از نوع RCE در لایه Application (مثل HTTPS) عملاً بیاثر است.
سناریوی ۲: ارتقاء به نسخه ایمن پس از نفوذ، همراه با محدودسازی IP
سؤال:
اگر سیستم قبلاً نفوذ شده باشد، بعداً به نسخه اصلاحشده ارتقاء یابد و سپس دسترسی فقط برای IPهای مشخص فعال شود، آیا مهاجم همچنان ممکن است به سیستم دسترسی داشته باشد؟
تحلیل:
مهاجمی که موفق به اجرای کد شده باشد، میتواند:
- حساب کاربری مخفی ایجاد کند
- تغییر در اسکریپتهای داخلی انجام دهد
- پیکربندیها و کلیدهای رمزنگاری را استخراج کرده باشد
در نتیجه، حتی پس از ارتقاء، بدون پاکسازی کامل (Clean Format)، هیچ اطمینانی نسبت به «پاک بودن» سیستم وجود ندارد.
نتیجه فنی:
ارتقاء نرمافزار بدون ارزیابی جامع IoC و بازسازی از ابتدا (Factory Reset + Manual Reconfiguration) فاقد کفایت امنیتی است.
سناریوی ۳: روشهای کشف نفوذ گذشته به SSL VPN
سؤال:
چگونه میتوان مطمئن شد که SSL VPN در گذشته مورد سوءاستفاده قرار نگرفته است؟
تحلیل:
تأیید وقوع نفوذ وابسته به این موارد است:
- مشاهده IoC در لاگها (مثل لاگهای مربوط به SSL-VPN و httpsd)
- بررسی رفتارهای غیرعادی در فایلهای سیستمی (در دسترس فقط با debug shell)
- جمعآوری و تحلیل خروجیهای diag debug app sslvpn -1 یا diag debug crashlog read
دیدگاه کاربران حرفهای در اینترنت
در کنار مستندات رسمی، تجربیات میدانی کاربران در انجمن Fortinet و Reddit حاوی نکات جالبی است:
کاربران از روشهایی مانند محدودسازی IP و تنظیم MFA برای تقویت امنیت SSL VPN استفاده میکنند.
اما خود Fortinet در مقالهای رسمی تأکید کرده که این موارد مکمل بهروزرسانی هستند، نه جایگزین آن.
در پستهایی درباره CVE-2024-21762، برخی کاربران گفتهاند که محدودسازی IP یک اقدام مفید است، اما «مثل قفل کردن درب، وقتی پنجره باز است.»
نتیجهگیری رایج: اگر FortiOS شما آسیبپذیر است، هیچ چیز به اندازه ارتقاء نسخه و در صورت لزوم، حذف کامل SSL VPN امن نیست.
تصمیم Fortinet برای حذف Tunnel Mode: چرا؟
طبق اسناد رسمی و مستند Fortinet در مورد نسخه 7.6.3، قابلیت SSL VPN Tunnel Mode در مدلهای پایینرده قبلاً حذف شده و در نسخههای بالاتر نیز در مسیر حذف کامل قرار دارد.
دلایل احتمالی این تصمیم:
- ریسکپذیری ذاتی SSL VPN در لایه Application
- تعدد آسیبپذیریهای RCE و Session Hijack در چند سال اخیر
- تفاوت بنیادین مدل امنیتی IPSec در مقابل SSL VPN
- عدم توانایی در کنترل کامل کانال رمزنگاریشده SSL در موارد خاص
جایگزین پیشنهادی Fortinet:
مهاجرت به IPSec VPN که از لحاظ رمزنگاری، احراز هویت، و کنترل مسیر شبکه، مدل قابل اطمینانتری محسوب میشود.