سوءاستفاده از FortiGate VPN برای توزیع باجافزار
بر اساس گزارشی که شرکت کسپرسکی (Kaspersky Lab) آن را منتشر کرده مهاجمان با هدف قرار دادن یک آسیب پذیری در FortiGate VPN server اقدام به رخنه به شبکه قربانیان و توزیع باجافزار Cring بر روی دستگاهها میکنند.
در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیدهای از این گزارش کسپرسکی ارائه شده است.
آسیبپذیری سوءاستفاده شده توسط این مهاجمان، CVE-2018-13379 گزارش شده است.
بهتازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیبپذیری شامل CVE-2018-13379 در محصولات Fortinet خبر داده بودند که جزییات آن در لینک زیر قابل مطالعه است:
https://afta.gov.ir/portal/home/?news/235046/237266/243233/
CVE-2018-13379 ضعفی از نوع Path Traversal است که بخش Web Portal در FortiOS SSL VPN از آن متأثر میشود. سوءاستفاده از این آسیبپذیری، امکان خواندن فایلهای سیستمی از جمله فایل نشستها (Session) که شامل نامهای کاربری و رمزهای عبوری بهصورت متن ساده (Plain Text) میشود را برای مهاجم بدون نیاز به اصالتسنجی فراهم میکند.
اگر چه اصلاحیه CVE-2018-13379 در می 2019 عرضه شد اما در نوامبر 2020 شرکت سازنده اعلام کرد که سهم قابلتوجهی از سختافزارهای Fortinet به دلیل عدم اعمال اصلاحیه مربوطه توسط راهبران آنها همچنان آسیبپذیر باقی ماندهاند و حتی نشانی IP برخی از آنها تبهکاران سایبری به فروش میرسد.
بر اساس گزارش کسپرسکی در حملات اخیر، بهمحض فراهم شدن دسترسی، مهاجمان از ابزار Mimikatz برای استخراج اطلاعات اصالتسنجی حساب کاربرانی که پیشتر به دستگاه آلوده وارد شده بودند استفاده کرده و در صورت دستیابی به یک حساب کاربری Domain Administrator دامنه نفوذ خود را در سطح شبکه افزایش میدهند. در نهایت نیز با بکارگیری Cobalt Strike باجافزار Cring را بر روی هر ماشین توزیع میکنند.
در جریان این حملات فایلهای با هر یک از پسوندهای زیر توسط باجافزار رمزگذاری میشوند:
.vhdx (Virtual Hard Disk), .ndf (Microsoft SQL Server secondary database), .wk (Lotus 1-2-3 spreadsheet), .xlsx (Microsoft Excel spreadsheet), .txt (text document), .doc (Microsoft Word document), .docx (Microsoft Word document), .xls (Microsoft Excel spreadsheet), .mdb (Microsoft Access database), .mdf (disk image), .sql (saved SQL query), .bak (backup file), .ora (Oracle database), .pdf (PDF document), .ppt (Microsoft PowerPoint presentation), .pptx (Microsoft PowerPoint presentation), .dbf (dBASE database management file), .zip (archive), .rar (archive), .aspx (ASP.NET webpage), .php (PHP webpage), .jsp (Java webpage), .bkf (backup created by Microsoft Windows Backup Utility), .csv (Microsoft Excel spreadsheet)
مشروح گزارش کسپرسکی در لینک زیر قابل دریافت و مطالعه است: