سوءاستفاده مهاجمان از آسیب‌پذیری‌های Fortinet

چند نهاد امنیتی، نسبت به سوءاستفاده حداقل یک گروه از مهاجمان APT از آسیب‌پذیری‌های Fortinet برای رخنه به اهداف خود هشدار داده‌اند.

در یکی از موارد، مهاجمان تقریباً موفق به بهره‌جویی از Fortigate به‌منظور دسترسی یافتن به سرور وبی که دامنه حساسی را میزبانی می‌کرده شده بودند.

به نظر می‌سد در جریان حمله، این مهاجمان اقدام به ایجاد یک حساب کاربری با نام elie یا WADGUtilityAccount جهت گسترش دامنه نفوذ و اجرای اقدامات مخرب در سطح شبکه می‌کنند.

بر اساس گزارش‌های منتشر شده، مهاجمان با برقراری ارتباط بر روی درگاه‌های 4443، 8443 و 10443 از آسیب‌پذیری‌های زیر سوءاستفاده می‌کنند:

  • CVE-2018-13379
  • CVE-2019-5591
  • CVE-2020-12812

این آسیب‌پذیری‌ها، FortiOS، سیستم عامل مورد استفاده در محصولات Fortinet را متأثر می‌کنند.

توجه ویژه مهاجمان به این سه آسیب‌پذیری احتمالا به دلیل اطلاع آنها از استفاده از محصولات Fortinet در شبکه قربانی بوده است.

پس از رخنه به شبکه، مهاجمان قادر به استخراج اطلاعات، رمزگذاری داده‌ها و یا سایر امور مخرب خواهند بود.

اجرای این حملات بر ضد زیرساخت‌های حساس در حالی صورت می‌پذیرد که حداقل یک سال از وصله شدن آسیب‌پذیری‌های مذکور توسط شرکت سازنده می‌گذرد. باید توجه داشت که آسیب‌پذیری‌های مورد سوءاستفاده مهاجمان، محدود به موارد مذکور نیست و اعمال مستمر وصله‌های جدید می‌بایست همواره در دستور کار مسئولان و دست‌اندرکاران امنیت سازمان قرار داشته باشد. همچنین بکارگیری راهکارهای امنیتی قدرتمند، مسدوسازی درگاه‌ها و سرویس‌های غیرضرور، در حداقل نگاه داشتن سطوح دسترسی، بخش‌بندی شبکه (Network Segmentation)، تهیه نسخ پشتیبان از داده‌های بااهمیت و مقاوم‌سازی فرایند ثبت ورود (Login) از دیگر مواردی است که همگی در کنار یکدیگر شانس موفقیت تبهکاران سایبری را در نفوذ به شبکه سازمان به حداقل می‌رسانند.

 

نشانه‌های آلودگی (IoC)

نام فایل:

Audio.exe

frpc.exe

 

هش:

b90f05b5e705e0b0cb47f51b985f84db

 

نام کاربری:

elie

WADGUtilityAccount

 

 

 

منابع

https://www.ic3.gov/Media/News/2021/210402.pdf

https://www.ic3.gov/Media/News/2021/210527.pdf

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *