با استفاده از حفره امنیتی Zero-day موجود در FortiOS SSL-VPN، حملاتی به برخی از سازمانهای دولتی و مراکز وابسته به آنها در دنیا انجام شده است. این آسیب پذیری ماه گذشته زمانی که مهاجمان ناشناسی از آن بهره برداری نمودند توسط فورتی نت وصله شده است.
این آسیب پذیری با شماره CVE-2022-42475 در این حوادث به مهاجم امکان اجرای کد از راه دور و خرابی در سیستم قربانی را می دهد .
شرکت فورتی نت این باگ را در 28 نوامبر با انتشار نسخه جدید 7.2.3 از نرم فزار رفع نموده است.
در اواسط دسامبر، شرکت فورتی نت به خریداران خود هشدار داد که این وصله را دانلود و نصب کنند تا در برابر حملات از طریق این آسیب پذیری محفاظت شوند.
شرکت فورتی نت در مورد این آسیب پذیری به مشترکین خود از طریق یک TLP در 7 دسامبر اطلاع رسانی کرد. سپس اطلاعات بیشتری در مورد آسیب پذیری در 12 دسامبر با توجه به اینکه از آن در حملات بهره برداری شده بود، منتشر کرد.
محصولات تحت تاثیر این آسیب پذیری
• FortiOS version 7.2.0 through 7.2.2
• FortiOS version 7.0.0 through 7.0.8
• FortiOS version 6.4.0 through 6.4.10
• FortiOS version 6.2.0 through 6.2.11
• FortiOS version 6.0.0 through 6.0.15
• FortiOS version 5.6.0 through 5.6.14
• FortiOS version 5.4.0 through 5.4.13
• FortiOS version 5.2.0 through 5.2.15
• FortiOS version 5.0.0 through 5.0.14
• FortiOS-6K7K version 7.0.0 through 7.0.7
• FortiOS-6K7K version 6.4.0 through 6.4.9
• FortiOS-6K7K version 6.2.0 through 6.2.11
• FortiOS-6K7K version 6.0.0 through 6.0.14
• FortiProxy version 7.2.0 through 7.2.1
• FortiProxy version 7.0.0 through 7.0.7
• FortiProxy version 2.0.0 through 2.0.11
• FortiProxy version 1.2.0 through 1.2.13
• FortiProxy version 1.1.0 through 1.1.6
• FortiProxy version 1.0.0 through 1.0.7
سواستفاده از آسیب پذیری Zero-day در شبکه های هدف سازمانهای دولتی
مشخص شده است که حملات مهاجمان به شدت هدفمند بوده و بررسی ها نشان می دهد که اولویت با شبکه های سازمانهای دولتی بوده است.
پس از بررسی نمونه ویندوز لینک شده به مهاجم، نشانه هایی از ایجاد آن بر روی کامپیوتری در منطقه زمانی UTC+8 نشان داد. این منطقه زمانی مربوط به کشورهای زیر می باشد:
چین
روسیه
سنگاپور
کشورهای آسیای شرقی
محققین حدس می زنند که مهاجم ممکن است در یکی از مناطق باشد. در هر صورت نکته مهم این است که این اطلاعات مکان قطعی مهاجم را مشخص نمی کند.
مهاجمین به جای داشتن دسترسی طولانی مدت به شبکه، بر عدم شناسایی تمرکز داشته اند.
قدرت نفوذ آنها برای نصب بدافزار آسیب پذیری مذکور بوده است و مهاجم فرآیندهای ورودی FortiOS را اصلاح کرده و لاگ های خاصی را حذف کرده و یا فرآیند لاگ گیری را متوقف می کند تا فعالیت های خود را پنهان نگه دارند.
موارد زیر در فایل سیستم موجود بوده است:
• /data/lib/libips.bak
• /data/lib/libgif.so
• /data/lib/libiptcp.so
• /data/lib/libipudp.so
• /data/lib/libjepg.so
• /var/.sslvpnconfigbk
• /data/etc/wxd.conf
• /flash
براساس آنالیزهای بیشتر از بدافزار نصب شده روی دستگاههای آسیب دیده، Payloadهای مخرب شامل بدافزار بوده که توانایی تشخیص نقض امنیتی را در IPS دستگاه در معرض خطر که به طور مرتب ترافیک شبکه را برای شناسایی تهدیدات و بلاک آنها بررسی می کند، با اختلال مواجه می کند.
راهکارها:
⬅️ارتقا FortiOS به ورژن 7.2.3 یا بالاتر
⬅️ارتقا FortiOS به وژن 7.0.9 یا بالاتر
⬅️ارتقا FortiOS به ورژن 6.4.11 یا بالاتر
⬅️ارتقا FortiOS به ورژن 6.2.12 یا بالاتر
⬅️ارتقا FortiOS به ورژن 6.0.16 یا بالاتر
⬅️ارتقا FortiOS-6K7K به ورژن 7.0.8 یا بالاتر
⬅️ارتقا FortiOS-6K7K به ورژن 6.4.10 یا بالاتر
⬅️ارتقا FortiOS-6K7K به ورژن 6.2.12 یا بالاتر
⬅️ارتقا FortiOS-6K7K به ورژن 6.0.015 یا بالاتر
⬅️ارتقا FortiProxy به ورژن 7.2.2 یا بالاتر
⬅️ارتقا FortiProxy به ورژن 7.0.8 یا بالاتر
⬅️ارتقا FortiProxy به ورژن 2.0.12 یا بالاتر
به عنوان یک راهکار در دسترس کاربران مجبور به غیرفعال کردن SSL-VPN می باشد اما به منظور حفاظت از سیستم هایشان در برابر حملات، این شرکت به کاربران خود پیشنهاد می کند که حتما از نصب آخرین وصله ها و به روز بودن FortiOS خود مطمئن شوند.
منبع: https://gbhackers.com
