سوءاستفاده از FortiGate VPN برای توزیع باج‌افزار

روابط عمومی

4 سال پیش

بر اساس گزارشی که شرکت کسپرسکی (Kaspersky Lab) آن را منتشر کرده مهاجمان با هدف قرار دادن یک آسیب پذیری در FortiGate VPN server اقدام به رخنه به شبکه قربانیان و توزیع باج‌افزار Cring بر روی دستگاه‌ها می‌کنند.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده چکیده‌ای از این گزارش کسپرسکی ارائه شده است.

آسیب‌پذیری سوءاستفاده شده توسط این مهاجمان، CVE-2018-13379 گزارش شده است.

به‌تازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیب‌پذیری شامل CVE-2018-13379 در محصولات Fortinet خبر داده بودند که جزییات آن در لینک زیر قابل مطالعه است:

https://afta.gov.ir/portal/home/?news/235046/237266/243233/

CVE-2018-13379 ضعفی از نوع Path Traversal است که بخش Web Portal در FortiOS SSL VPN از آن متأثر می‌شود. سوءاستفاده از این آسیب‌پذیری، امکان خواندن فایل‌های سیستمی از جمله فایل نشست‌ها (Session) که شامل نام‌های کاربری و رمزهای عبوری به‌صورت متن ساده (Plain Text) می‌شود را برای مهاجم بدون نیاز به اصالت‌سنجی فراهم می‌کند.

اگر چه اصلاحیه CVE-2018-13379 در می 2019 عرضه شد اما در نوامبر 2020 شرکت سازنده اعلام کرد که سهم قابل‌توجهی از سخت‌افزارهای Fortinet به دلیل عدم اعمال اصلاحیه مربوطه توسط راهبران آنها همچنان آسیب‌پذیر باقی مانده‌اند و حتی نشانی IP برخی از آنها تبهکاران سایبری به فروش می‌رسد.

بر اساس گزارش کسپرسکی در حملات اخیر، به‌محض فراهم شدن دسترسی، مهاجمان از ابزار Mimikatz برای استخراج اطلاعات اصالت‌سنجی حساب کاربرانی که پیش‌تر به دستگاه آلوده وارد شده بودند استفاده کرده و در صورت دستیابی به یک حساب کاربری Domain Administrator دامنه نفوذ خود را در سطح شبکه افزایش می‌دهند. در نهایت نیز با بکارگیری Cobalt Strike باج‌افزار Cring را بر روی هر ماشین توزیع می‌کنند.

در جریان این حملات فایل‌های با هر یک از پسوندهای زیر توسط باج‌افزار رمزگذاری می‌شوند:

.vhdx (Virtual Hard Disk), .ndf (Microsoft SQL Server secondary database), .wk (Lotus 1-2-3 spreadsheet), .xlsx (Microsoft Excel spreadsheet), .txt (text document), .doc (Microsoft Word document), .docx (Microsoft Word document), .xls (Microsoft Excel spreadsheet), .mdb (Microsoft Access database), .mdf (disk image), .sql (saved SQL query), .bak (backup file), .ora (Oracle database), .pdf (PDF document), .ppt (Microsoft PowerPoint presentation), .pptx (Microsoft PowerPoint presentation), .dbf (dBASE database management file), .zip (archive), .rar (archive), .aspx (ASP.NET webpage), .php (PHP webpage), .jsp (Java webpage), .bkf (backup created by Microsoft Windows Backup Utility), .csv (Microsoft Excel spreadsheet)

مشروح گزارش کسپرسکی در لینک زیر قابل دریافت و مطالعه است:

https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/