سوءاستفاده مهاجمان از ضعف امنیتی روز-صفر فورتینت
مهاجمان در هفتههای اخیر با سوءاستفاده از یک ضعف امنیتی در FortiOS، در حال اجرای حملاتی هستند که منجر به خرابی سیستمعامل و فایلها و نشت اطلاعات میشود.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده این حملات مورد بررسی قرار گرفته است.
این ضعف امنیتی که شرکت فورتینت (Fortinet) در تاریخ 16 اسفند ماه وصله آن را منتشر کرد، دارای شناسه CVE-2022-41328 میباشد و مهاجمان را قادر به اجرای کدها و فرامین غیرمجاز مینماید.
آسیبپذیری مذکور محصولات زیر را تحت تاثیر قرارمیدهد:
- FortiOS version 7.2.0 through 7.2.3
- FortiOS version 7.0.0 through 7.0.9
- FortiOS version 6.4.0 through 6.4.11
- FortiOS 6.2 all versions
- FortiOS 6.0 all versions
به تمامی راهبران توصیه میشود در اسرع وقت با مراجعه به توصیهنامه امنیتی این شرکت نسبت به بهروزرسانی محصولات متأثر از این آسیبپذیری اقدام نموده و آنها را به نسخ زیر ارتقا دهند:
- FortiOS version 7.2.4 or above
- FortiOS version 7.0.10 or above
- FortiOS version 6.4.12 or above
با وجود این که در توصیهنامه امنیتی اشاره نشده که این ضعف امنیتی قبل از انتشار وصلهها مورد سوءاستفاده قرار گرفته اما فورتینت در یکی از گزارشهای اخیر خود اعلام نموده که مهاجمان با سوءاستفاده از CVE-2022-41328 اقدام به هک چندین دستگاه فایروال FortiGate متعلق به یکی از مشتریان این شرکت نمودهاند.
این حملات پس از آن شناسایی شدند که پس از نمایش پیام خطای زیر، دستگاههای Fortigate دچار اختلال شدند و از کار افتادند:
“System enters error-mode due to FIPS error: Firmware Integrity self-test failed”
بررسی و تحلیل محققان شرکت فورتینت حاکی از آن است که حملات کاملاً هدفمند بوده و برخی شواهد نشان میدهد که این مهاجمان به دنبال سرقت اطلاعات در شبکه سازمانهای قربانی میباشند.
مهاجمان در جریان این حمله از قابلیتهای پیشرفته نظیر مهندسی معکوس در سیستمعامل تجهیزات FortiGate استفاده کردهاند. جزئیات کامل این حمله به همراه فهرست نشانههای آلودگی (IoC) در لینک زیر قابل دریافت میباشد:
https://www.fortinet.com/blog/psirt-blogs/fg-ir-22-369-psirt-analysis
منبع
