چندی پیش شرکت فورتینت (Fortinet) با انتشار توصیهنامهای نسبت به بهرهجویی فعال مهاجمان از ضعفی در FortiOS SSL-VPN هشدار داد. اکنون وصله این آسیبپذیری که دارای شناسه CVE-2022-42475 میباشد، ارائه شده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، آسیبپذیری مذکور بررسی شده است.
این ضعف امنیتی مهاجمان احراز هویت نشده را قادر میسازد تا کد مخرب و دلخواه را به طور بالقوه و از راه دور در تجهیزات آسیبپذیر اجرا کنند.
در آن زمان شرکت فورتینت در خصوص جزئیات بهرهجویی از این آسیبپذیری در حملات، اطلاعاتی منتشر نکرده بود؛ در گزارشی که به تازگی این شرکت منتشر کرده، اینطور عنوان شده که مهاجمان از اکسپلویتهای CVE-2022-42475 جهت هک FortiOS SSL-VPN و توزیع بدافزارها استفاده میکنند.
به نقل از محققان شرکت فورتینت، پیچیدگی بالای بهرهجویی از این اکسپلویت حکایت از تخصص بالای مهاجمان و هدفمند بودن حملات دارد.
مهاجمان با سوءاستفاده از این آسیبپذیری اقدام به نصب بدافزار نموده و به شدت بر حفظ ماندگاری در سیستم و فرار از راهکارهای تشخیصی تمرکز دارند تا بتوانند لاگهای گزارش را حذف کنند یا حتی در صورت لزوم، پروسههای مربوط به لاگها را از بین ببرند.
کدهای مخرب (Payload) مضاعف دانلود شده در دستگاههای آسیبپذیر ضمن نصب بدافزار، سیستمهای پیشگیری از نفوذ (IPS) این دستگاهها را – که جهت پیشگیری از نفوذ امنیتی طراحی شده و با رصد مداوم بر ترافیک شبکه سعی در شناسایی تهدیدات دارند-، غیرفعال مینمایند.
همچنین این شرکت هشدار داده که در طی حمله، Payload مخرب از یک سایت راه دور دانلود شده اما این محققان موفق به بازیابی آن جهت تحلیل نشدند.
مشروح گزارش این شرکت به همراه نشانههای آلودگی (Indicators-of-Compromise – به اختصار IoC) آن در نشانی زیر قابل مطالعه میباشد:
فورتینت به تمامی مشتریان توصیه میکند که در اسرع وقت ضمن اعمال وصله منتشر شده، FortiOS را به آخرین نسخه ارتقاء دهند تا از حملات در امان باشند.
منبع: