يحذر Fortinet المهاجمين يحتفظون بـ FortiGate Access Post-Patching عبر استغلال SSL-VPN Symlink
كشفت Fortinet أن ممثلي التهديد قد وجدوا طريقة للحفاظ على الوصول للقراءة فقط إلى أجهزة FortiGate الضعيفة حتى بعد أن تم تصحيح متجه الوصول الأولي المستخدم لخرق الأجهزة.
يُعتقد أن المهاجمين قد استفادوا من العيوب الأمنية المعروفة والمعروفة الآن ، بما في ذلك ، على سبيل المثال لا الحصر ، CVE-2022-42475 ، CVE-2023-27997 ، و CVE-2024-21762.
“استخدم ممثل التهديد ثغرة أمنية معروفة لتنفيذ وصول القراءة فقط إلى أجهزة FortiGate الضعيفة” ، شركة أمان الشبكة قال في استشارية صدر يوم الخميس. “تم تحقيق ذلك من خلال إنشاء رابط رمزي يربط نظام ملفات المستخدم ونظام ملفات الجذر في مجلد يستخدم لخدمة ملفات اللغة لـ SSL-VPN.”
وقال Fortinet إن التعديلات التي أجريت في نظام ملفات المستخدم وتمكنت من التهرب من الكشف ، مما تسبب في ترك الرابط الرمزي (المعروف أيضًا باسم Symlink) حتى بعد توصيل فتحات الأمان المسؤولة عن الوصول الأولي.
هذا بدوره ، مكّن الجهات الفاعلة التهديد من الحفاظ على الوصول للقراءة فقط إلى الملفات على نظام ملفات الجهاز ، بما في ذلك التكوينات. ومع ذلك ، فإن العملاء الذين لم يتمكنوا من تمكين SSL-VPN لم يتأثروا بهذه المشكلة.
ليس من الواضح من الذي يقف وراء هذا النشاط ، لكن Fortinet قال إن تحقيقه أشار إلى أنه لم يكن يهدف إلى أي منطقة أو صناعة محددة. وقالت أيضا أنها أخطرت مباشرة العملاء الذين تأثروا بهذه القضية.
نظرًا لزيادة التخفيفات لمنع حدوث مثل هذه المشكلات مرة أخرى ، تم طرح سلسلة من تحديثات البرامج إلى Fortios –
- Fortios 7.4 ، 7.2 ، 7.0 ، 6.4 – تم وضع علامة على Symlink على أنها ضارة بحيث يتم إزالتها تلقائيًا بواسطة محرك مكافحة الفيروسات
- Fortios 7.6.2 و 7.4.7 و 7.2.11 و 7.0.17 و 6.4.16 – تمت إزالة symlink وتم تعديل SSL-VPN UI لمنع تقديم هذه الروابط الرمزية الخبيثة
يُنصح العملاء بتحديث الحالات الخاصة بهم إلى إصدارات Fortios 7.6.2 أو 7.4.7 أو 7.2.11 أو 7.0.17 أو 6.4.16 ، وتكوينات مراجعة الجهاز ، ومعالجة جميع التكوينات على أنها قد تعرض للخطر وتنفيذها خطوات الاسترداد المناسبة.
وكالة أمن الأمن السيبراني والبنية التحتية الأمريكية (CISA) صادر استشارية خاصة بها ، وحث المستخدمين على إعادة تعيين بيانات الاعتماد المكشوفة والنظر في تعطيل وظائف SSL-VPN حتى يمكن تطبيق التصحيحات. فريق الاستجابة للطوارئ في فرنسا (CERT-FR) ، في نشرة مماثلة ، قال إنه يدرك التنازلات التي يرجع تاريخها إلى أوائل عام 2023.
في بيان مشترك مع Hacker News ، قال الرئيس التنفيذي لشركة WatchTowr بنيامين هاريس إن الحادث مصدر قلق لسببين مهمين.
وقال هاريس: “أولاً ، أصبح الاستغلال البري أسرع بكثير مما يمكن للمنظمات تصحيحه”. “الأهم من ذلك ، أن المهاجمين يدركون هذه الحقيقة بشكل واضح.”
“ثانياً ، وأكثر مرونة ، رأينا ، عدة مرات ، ينشرون القدرات والخلفية بعد الاستغلال السريع المصمم للبقاء على قيد الحياة في عمليات الترقيع والترقية وإعادة ضبط المصانع ، وصلت المنظمات إلى التخفيف من هذه المواقف للحفاظ على الثبات والوصول إلى المنظمات المربحة.”
هاريس أيضا قال تم تحديد عمليات النشر الخلفية عبر قاعدة عملاء WatchTowr ، وأنها “ترى التأثير على المؤسسات التي يطلق عليها الكثيرون البنية التحتية الحرجة”.
إرسال التعليق