متخصصان فایروال یک وصله امنیتی برای آسیب پذیری ای منتشر کرده اند که منجر به وقوع مجموعه ای از حملات در اوایل این ماه شدند و محصولات FortiOS و FortiProxy آنلاین را تحت تاثیر قرار داده اند.
Fortinet یک آسیب پذیری بای پس احراز هویت Zero-day که روی محصولات FortiOS و FortiProxy اثر دارد را رفع نموده است. این آسیب پذیری به مهاجم امکان داشتن دسترسی های سطح super-administrative و انجام فعالیتهای مخربی مانند نقض شبکه های سازمانی را میدهد.
این آسیب پذیری با شماره CVE-2024-55591 در دسته آسیب پذیری های حیاتی قرار گرفته و یک حفره امنیتی بای پس احراز هویت با استفاده از مسیر یا کانال جایگزین است که می تواند به مهاجم از راه دور با دسترسی super-admin امکان ارسال درخواست های جعلی به ماژول Node.js websocket را بدهد.
طبق مشاهدات Fortinet مهاجمان با سوء استفاده از این آسیب پذیری، عملیات مخرب مختلفی را انجام داده اند. این فعالیت ها عبارتند از: ایجاد یک حساب کاربری مدیریتی بر روی دستگاه با نام کاربری تصادفی. ایجاد یک حساب کاربری محلی روی دستگاه با نام کاربری تصادفی؛ ایجاد یک گروه کاربری یا افزودن یک کاربر محلی به یک گروه کاربری SSL VPN موجود؛ افزودن و/یا تغییر تنظیمات دیگر، از جمله خط مشی فایروال و/یا آدرس فایروال؛ و وارد شدن به SSL VPN برای دریافت یک تونل به شبکه داخلی.
شرکت Fortinet یک دستورالعمل پیشنهادی برای کاربرانی که از محصولات تحت تاثیر استفاده می کنند در وبسایت خود منتشر کرده است.
اولین نشانه های بهره برداری از آسیب پذیری Zero-day در Fortinet
اولین نشانه ها مبنی بر اینکه مشکلی وجود دارد اوایل این ماه بود، زمانی که محققان Arctic Wolf فاش کردند که یک آسیب پذیری Zero-day احتمالاً مقصر مجموعهای از حملات اخیر به دستگاههای فایروال FortiGate با رابط های مدیریتی آنلاین در اینترنت است. مهاجمان دستگاه ها را برای ایجاد لاگین های مدیریتی غیرمجاز و سایر تغییرات پیکربندی، ایجاد حسابهای جدید و انجام احراز هویت SSL VPN هدف قرار میدادند.
Fortinet قبل از فاش کردن وصله و گستردگی وضعیت در اواخر هفته گذشته، بی سر و صدا مشتریان خود را از این موضوع مطلع کرد.
محققان به بررسی عمیق این آسیبپذیری پرداختند و دریافتند که این آسیب پذیری در واقع زنجیرهای از مسائل است که در یک آسیبپذیری حیاتی ترکیب شده است که به مهاجمان اجازه میدهد چهار مرحله کلیدی را برای دستیابی به دسترسی super-admin دنبال کنند.
این مراحل عبارتند از: ایجاد یک اتصال WebSocket از یک درخواست HTTP از پیش تأیید شده، با استفاده از یک پارامتر خاص local_access_token برای رد شدن از بررسی های نشست. استفاده از یک شرط در WebSocket Telnet CLI برای ارسال احراز هویت قبل از انجام آن توسط سرور و انتخاب پروفایل دسترسی توسط مهاجم که بتواند دسترسی های super-admin را داشته باشد.
حفاظت در برابر آسیب پذیری CVE-2024-55591
دستگاههای Fortinet یک هدف محبوب برای عوامل تهدید هستند، با وجود آسیبپذیریهای مختلف در این محصولات اغلب به طور گسترده مورد سوء استفاده قرار میگیرند و به عنوان نقطه ورود برای حمله به شبکه های سازمانی نیز عمل میکنند.
به سازمانهایی که از دستگاههای تحت تأثیر این آسیب پذیری استفاده میکنند توصیه میشود مسیر مناسب بهروزرسانی را دنبال کنند یا راهحل ارائهشده توسط Fortinet را اعمال کنند.
Fortinet همچنین در توصیه های خود اشاره کرد که یک مهاجم معمولاً برای انجام حمله باید نام کاربری یک حساب کاربری مدیریت را بداند و برای سوء استفاده از نقص وارد CLE شود. بنابراین پیشنهاد می شود که یک نام کاربری پیچیده و غیرقابل حدس برای حساب های مدیریتی استفاده شود. با این حال، این شرکت اضافه کرد از آنجایی که WebSocket مورد نظر خود یک نقطه احراز هویت نیست، مهاجمان این امکان را نیز دارند که نام کاربری را برای سوء استفاده از این نقص با استفاده از تکنیک های Brute-forcing بدست آورند.
منبع:
