شرکت Fortinet، یکی از پیشگامان صنعت امنیت سایبری، اخیراً گزارشی در رابطه با فعالیتهای مخرب یک عامل تهدید (Threat Actor) منتشر کرده است که با بهرهبرداری از آسیبپذیریهای شناخته شده، موفق به دسترسی read-only به برخی از دستگاههای FortiGate شده است. در پی تعهد به حفظ امنیت اطلاعات کاربران و با هدف ارتقای آگاهی عمومی، جزئیات دقیق حمله سایبری اخیر و راهکارهای مقابله با آن از سوی این شرکت به صورت عمومی اطلاعرسانی شد.
بر اساس یافتههای تیم تحقیقاتی Fortinet، عامل تهدید با استفاده از آسیبپذیریهایی مانند FG-IR-22-398، FG-IR-23-097 و FG-IR-24-015، به برخی دستگاهها دسترسی یافته و از طریق ایجاد یک symbolic link بین فایل سیستم کاربر و فایل سیستم root، موفق به حفظ دسترسی read-only حتی پس از بهروزرسانی سیستمعامل توسط کاربر شده است. قابل ذکر است که این حمله تنها در صورتی ممکن است رخ دهد که ویژگی SSL-VPN بر روی دستگاه فعال باشد. در صورتی که این قابلیت هرگز فعال نشده باشد، دستگاه در برابر این حمله محفوظ خواهد ماند.
تدابیر امنیتی Fortinet پس از شناسایی تکنیک جدید حمله به دستگاههای FortiGate:
- ارائه signature امنیتی AV/IPS برای شناسایی و حذف symbolic link مخرب
- اعمال تغییرات در نسخههای جدید FortiOS جهت جلوگیری از اجرای این تکنیک
- انتشار نسخههای بهروزشدهای از FortiOS شامل ۷٫۶٫۲، ۷٫۴٫۷، ۷٫۲٫۱۱، ۷٫۰٫۱۷ و ۶٫۴٫۱۶ که به صورت خودکار این لینک مخرب را حذف میکنند.
- اصلاح رابط کاربری SSL-VPN
توصیههای Fortinet به تمامی کاربران
Fortinet بر اساس گزارش اخیر آزمایشگاههای FortiGuard اعلام کرده است که به طور متوسط، مهاجمان تنها ۴ روز پس از افشای عمومی یک آسیبپذیری، اقدام به بهرهبرداری از آن میکنند. در این راستا، شرکتها و سازمانها موظفاند با انجام بهروزرسانیهای به موقع، از سیستمهای خود در برابر این تهدیدات محافظت کنند.
فورتینت به کابرانی که از محصولات FortiGate استفاده میکنند توصیه کرده است که اقدامات زیر را برای محافظت از دستگاهها انجام دهند:
- ارتقای FortiOS به نسخههای ۷٫۶٫۲ ، ۷٫۴٫۷ ، ۷٫۲٫۱۱ ، ۷٫۰٫۱۷ و ۶٫۴٫۱۶ به منظور حذف فایلهای مخرب و جلوگیری از دسترسی مجدد مهاجمان.
- بازبینی کامل پیکربندی دستگاه در تمامی بخشها.
همچنین این شرکت پیشنهاد کرده است که تا در زمان ارتقا، بهعنوان یک راهکار موقت، قابلیت SSL-VPN غیرفعال شود.
منبع: www.fortinet.com
