چند نهاد امنیتی، نسبت به سوءاستفاده حداقل یک گروه از مهاجمان APT از آسیبپذیریهای Fortinet برای رخنه به اهداف خود هشدار دادهاند.
در یکی از موارد، مهاجمان تقریباً موفق به بهرهجویی از Fortigate بهمنظور دسترسی یافتن به سرور وبی که دامنه حساسی را میزبانی میکرده شده بودند.
به نظر میسد در جریان حمله، این مهاجمان اقدام به ایجاد یک حساب کاربری با نام elie یا WADGUtilityAccount جهت گسترش دامنه نفوذ و اجرای اقدامات مخرب در سطح شبکه میکنند.
بر اساس گزارشهای منتشر شده، مهاجمان با برقراری ارتباط بر روی درگاههای 4443، 8443 و 10443 از آسیبپذیریهای زیر سوءاستفاده میکنند:
- CVE-2018-13379
- CVE-2019-5591
- CVE-2020-12812
این آسیبپذیریها، FortiOS، سیستم عامل مورد استفاده در محصولات Fortinet را متأثر میکنند.
توجه ویژه مهاجمان به این سه آسیبپذیری احتمالا به دلیل اطلاع آنها از استفاده از محصولات Fortinet در شبکه قربانی بوده است.
پس از رخنه به شبکه، مهاجمان قادر به استخراج اطلاعات، رمزگذاری دادهها و یا سایر امور مخرب خواهند بود.
اجرای این حملات بر ضد زیرساختهای حساس در حالی صورت میپذیرد که حداقل یک سال از وصله شدن آسیبپذیریهای مذکور توسط شرکت سازنده میگذرد. باید توجه داشت که آسیبپذیریهای مورد سوءاستفاده مهاجمان، محدود به موارد مذکور نیست و اعمال مستمر وصلههای جدید میبایست همواره در دستور کار مسئولان و دستاندرکاران امنیت سازمان قرار داشته باشد. همچنین بکارگیری راهکارهای امنیتی قدرتمند، مسدوسازی درگاهها و سرویسهای غیرضرور، در حداقل نگاه داشتن سطوح دسترسی، بخشبندی شبکه (Network Segmentation)، تهیه نسخ پشتیبان از دادههای بااهمیت و مقاومسازی فرایند ثبت ورود (Login) از دیگر مواردی است که همگی در کنار یکدیگر شانس موفقیت تبهکاران سایبری را در نفوذ به شبکه سازمان به حداقل میرسانند.
نشانههای آلودگی (IoC)
نام فایل:
Audio.exe
frpc.exe
هش:
b90f05b5e705e0b0cb47f51b985f84db
نام کاربری:
elie
WADGUtilityAccount
منابع