نماد سایت اتاق خبر شبکه گستر

بهره‌جویی مهاجمان از آسیب‌پذیری روز صفر فورتی‌نت

چندی پیش شرکت فورتی‌نت (Fortinet) با انتشار توصیه‌نامه‌ای نسبت به بهره‌جویی فعال مهاجمان از ضعفی در FortiOS SSL-VPN هشدار داد. اکنون وصله این آسیب‌پذیری که دارای شناسه CVE-2022-42475 می‌باشد، ارائه شده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، آسیب‌پذیری مذکور بررسی شده است.

این ضعف امنیتی مهاجمان احراز هویت نشده را قادر می‌سازد تا کد مخرب و دلخواه را به طور بالقوه و از راه دور در تجهیزات آسیب‌پذیر اجرا کنند.

در آن زمان شرکت فورتی‌نت در خصوص جزئیات بهره‌جویی از این آسیب‌پذیری در حملات، اطلاعاتی منتشر نکرده بود؛ در گزارشی که به تازگی این شرکت منتشر کرده، اینطور عنوان شده که مهاجمان از اکسپلویت‌های CVE-2022-42475 جهت هک FortiOS SSL-VPN و توزیع بدافزارها استفاده می‌کنند.

به نقل از محققان شرکت فورتی‌نت، پیچیدگی  بالای بهره‌جویی از این اکسپلویت حکایت از تخصص بالای مهاجمان و هدفمند بودن حملات دارد.

مهاجمان با سوءاستفاده از این آسیب‌پذیری اقدام به نصب بدافزار نموده و به شدت بر حفظ ماندگاری در سیستم و فرار از راهکارهای تشخیصی تمرکز دارند تا بتوانند لاگ‌های گزارش را حذف کنند یا حتی در صورت لزوم، پروسه‌های مربوط به لاگ‌ها را از بین ببرند.

کدهای مخرب (Payload) مضاعف دانلود شده در دستگاه‌های آسیب‌پذیر ضمن نصب بدافزار، سیستم‌های پیشگیری از نفوذ (IPS) این دستگاه‌ها را – که جهت پیشگیری از نفوذ امنیتی طراحی شده و  با رصد مداوم بر ترافیک شبکه سعی در شناسایی تهدیدات دارند-، غیرفعال می‌نمایند.

همچنین این شرکت هشدار داده که در طی حمله، Payload مخرب از یک سایت راه دور دانلود شده‌ اما این محققان موفق به بازیابی آن جهت تحلیل نشدند.

مشروح گزارش این شرکت به همراه نشانه‌های آلودگی (Indicators-of-Compromise – به اختصار IoC) آن در نشانی زیر قابل مطالعه می‌باشد:

https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd

فورتی‌نت به تمامی مشتریان توصیه می‌کند که در اسرع وقت ضمن اعمال وصله منتشر شده، FortiOS را به آخرین نسخه ارتقاء دهند تا از حملات در امان باشند.

 

منبع:

https://www.bleepingcomputer.com/news/security/fortinet-govt-networks-targeted-with-now-patched-ssl-vpn-zero-day/

خروج از نسخه موبایل