فورتینت یک آسیبپذیری بحرانی در API FortiManager را که با عنوان CVE-2024-47575 شناخته میشود، به صورت عمومی فاش کرد. از این آسیبپذیری در حملات روز صفر برای سرقت فایلهای حساس حاوی پیکربندیها، آدرسهای IP و اطلاعات احراز هویت دستگاههای مدیریتشده استفاده شده است. این شرکت از ۱۳ اکتبر به صورت خصوصی و از طریق ایمیلهای هشدار به مشتریان FortiManager در مورد این نقص اطلاع داده بود و اقداماتی را برای کاهش خطر تا زمان انتشار یک بهروزرسانی امنیتی پیشنهاد کرد. با این حال، اطلاعات مربوط به این آسیبپذیری در طول هفته توسط مشتریان در سایت Reddit منتشر شد. فورتینت اعلام کرد که گروه تهدید جدیدی که با نام UNC5820 شناخته میشود، در حال استخراج اطلاعات دقیق پیکربندی دستگاههای مدیریتشده و همچنین کاربران و رمزهای عبور هششده FortiOS256 است. این دادهها میتوانند توسط UNC5820 برای نفوذ بیشتر به FortiManager، حرکت جانبی به سمت دیگر دستگاههای مدیریتشده فورتینت و در نهایت هدف قرار دادن کل محیط سازمانی مورد استفاده قرار گیرند. همچنین برخی از مدیران دستگاههای Fortinet گزارش دادهاند که این نقص مدتی است مورد سوءاستفاده قرار گرفته و یکی از مشتریان حملات مربوط به این نقص را پیش از ارسال اعلانها تجربه کرده است. در کامنتی حذفشده از Reddit آمده بود: “هفتهها پیش از دریافت هشدار اولیه، دچار نفوذ شدیم؛ احتمالاً حمله روز صفر بود.”
افشای عمومی نقص zero-day FortiManager
فورتینت نقص بحرانی FortiManager را که با عنوان CVE-2024-47575 شناخته میشود و امتیاز شدت ۹٫۸ از ۱۰ را دارد، به صورت عمومی فاش کرد. طبق اعلامیه امنیتی FG-IR-24-423 فورتینت: “یک نقص احراز هویت در عملکرد بحرانی [CWE-306] در فرایند fgfmd FortiManager ممکن است به یک مهاجم از راه دور و بدون احراز هویت امکان اجرای کد یا دستورات دلخواه را از طریق درخواستهای خاص بدهد.” گزارشها نشان میدهند که این آسیبپذیری در محیطهای واقعی مورد سوءاستفاده قرار گرفته است.
این نقص بر نسخههای زیر از FortiManager تأثیر میگذارد:
به گفته کوین بیومونت، پژوهشگر امنیت سایبری، اگر یک مهاجم گواهی معتبری به دست بیاورد، اتصال یک دستگاه FortiGate به یک سرور FortiManager که به اینترنت عمومی دسترسی دارد، کار چندان سختی نیست. این گواهی برای ایجاد یک تونل SSL بین FortiGate و سرور FortiManager استفاده میشود تا هویت هر دو دستگاه تأیید شود. اما منبعی آگاه از این آسیبپذیری گفته است که مشکل اصلی در این مرحله نیست. بلکه، برای اجرای دستورات از طریق API پروتکل FGFM FortiManager، یک سطح اضافی از مجوز لازم است که میتوان آن را با استفاده از آسیبپذیری CVE-2024-47575 دور زد. این نقص در نسخههای جدید FortiManager برطرف شده است. این API به مهاجمان اجازه میدهد تا دستورات اجرا کنند، اطلاعات استخراج کنند و کنترل کامل دستگاههای مدیریتشده و FortiManager را به دست آورند تا به شبکههای سازمانی دسترسی بیشتری پیدا کنند.
Beaumont هشدار داده: «از آنجا که ارائه دهندگان خدمات مدیریت شده (MSPها) اغلب از FortiManager استفاده میکنند، میتوان از این راه به شبکههای داخلی دسترسی یافت.» او افزوده است: «به دلیل طراحی FGFM – در شرایط NAT – اگر به یک فایروال FortiGate مدیریت شده دسترسی پیدا کنید، میتوانید به دستگاه FortiManager متصل به آن دسترسی یابید و سپس به سایر فایروالها و شبکهها نیز دسترسی پیدا کنید.»
فورتینت روشهای مختلفی را برای کاهش این حمله ارائه داده است، در صورتی که در حال حاضر امکان نصب آخرین به روزرسانی نرمافزاری وجود نداشته باشد:
۱٫ از دستور fgfm-deny-unknown enable استفاده کنید تا از ثبتنام دستگاههایی با شماره سریال نامشخص در FortiManager جلوگیری کنید.
۲٫ یک گواهی سفارشی برای استفاده در زمان ایجاد تونل SSL و احراز هویت دستگاههای فورتیگیت با FortiManager ایجاد کنید.
با این حال، فورتینت هشدار میدهد که اگر یک مهاجم بتواند به این گواهی دسترسی پیدا کند، ممکن است از آن برای اتصال به دستگاههای فورتیگیت و بهرهبرداری از آسیبپذیری استفاده کند.
۳٫ یک فهرست مجاز از آدرسهای IP برای دستگاههای فورتیگیت که مجاز به اتصال هستند، ایجاد کنید.
سرقت دادهها
فورتینت میگوید حملات مشاهده شده برای سرقت فایلهای مختلف از سرور FortiManager استفاده شده که “شامل IPها، اعتبارنامهها و پیکربندیهای دستگاههای مدیریت شده بود.”
این اطلاعات سرقت شده میتواند برای یادگیری درباره دستگاههای فورتیگیت و هدف قرار دادن آنها به منظور دستیابی به دسترسی اولیه به شبکههای شرکتی یا مشتریان پاییندستی MSPها مورد استفاده قرار گیرد. این شرکت همچنین تأیید میکند که هیچ مدرکی مبنی بر نصب بدافزار بر روی خدمات آسیبدیده FortiManager یا تغییرات پیکربندی در دستگاههای فورتیگیت مدیریت شده وجود ندارد. فورتینت در مشاوره امنیتی خود میگوید: “در این مرحله، ما گزارشی از نصبهای سطح پایین بدافزار یا backdoors بر روی این سیستمهای آسیبدیده FortiManager دریافت نکردهایم.”
“تا جایی که ما میدانیم، هیچ نشانهای از پایگاه دادههای تغییر یافته یا اتصالات و تغییرات به دستگاههای مدیریت شده وجود ندارد.”
به دلیل حساسیت اطلاعات احتمالی سرقت شده، فورتینت از مدیران سیستمها میخواهد که اعتبارنامهها، مانند گذرواژهها و دادههای حساس کاربران را در تمام دستگاههای مدیریت شده تغییر دهند. فورتینت هیچ حملهای را به یک تهدید خاص نسبت نداده و اطلاعاتی درباره تعداد و نوع مشتریانی که تحت تأثیر قرار گرفتهاند به دلیل تحقیقات جاری ارائه نمیدهد. با این حال، فورتینت IOCهای زیر را برای کمک به متخصصان امنیت و مدیران شبکه جهت شناسایی اینکه آیا سرورهای FortiManager آنها از طریق این آسیبپذیری مورد حمله قرار گرفتهاند یا خیر، به اشتراک گذاشته است. حملات مشاهده شده نشان میدهد که مهاجمان، دستگاههای FortiGate تحت کنترل خود را با نام “localhost” متصل کردهاند که در بخش دستگاههای ثبت نشده در FortiManager ظاهر خواهد شد.
ورودهای لاگ نشان میدهد که مهاجمان دستورات API را برای اضافه کردن این دستگاههای “localhost” ثبت نشده صادر کردهاند.
یکی دیگر از ورودی های گزارش به اشتراک گذاشته شده توسط Fortinet برای ویرایش تنظیمات دستگاه مورد استفاده قرار گرفت:
فورتینت اعلام کرده است که دستگاههای فورتیگیت غیرمجاز با شماره سریال FMG-VMTM23017412 مشاهده شدهاند که به نظر میرسد فرمت استفاده شده توسط ماشینهای مجازی فورتیگیت باشد.
سایر شاخصهای آسیبپذیری شامل ایجاد فایلهای /tmp/.tm و /var/tmp/.tm است.
آدرسهای IP زیر در حملات مشاهده شدهاند که همگی در شرکت میزبانی ابری Vultr قرار دارند:
- ۴۵٫۳۲٫۴۱٫۲۰۲
- ۱۰۴٫۲۳۸٫۱۴۱٫۱۴۳ (به تازگی برای میزبانی زیرساخت C2 SuperShell مشاهده شده است.)
- ۱۵۸٫۲۴۷٫۱۹۹٫۳۷
- ۴۵٫۳۲٫۶۳٫۲
چهارچوب C2 SuperShell به تازگی در حملات به روترهای F5 BIG-IP استفاده شده که با اطمینان متوسط به یک عامل تهدید چینی (جمهوری خلق چین) به نام UNC5174 نسبت داده شده است. فورتینت هشدار میدهد که ممکن است همه شاخصهای آسیبپذیری بر روی دستگاههای آسیبدیده وجود نداشته باشد.
افشای خصوصی منجر به ناامیدی میشود.
فورتینت بیانیهای را درباره نقص امنیتی CVE-2024-47575 و چگونگی افشای آن به مشتریان به اشتراک گذاشت.
“پس از شناسایی این آسیبپذیری (CVE-2024-47575)، فورتینت به سرعت اطلاعات و منابع حیاتی را به مشتریان منتقل کرد. این اقدام مطابق با فرآیندها و بهترین شیوههای ما برای افشای مسئولانه است تا به مشتریان کمک کند قبل از انتشار عمومی مشاوره برای مخاطبان وسیعتر، از جمله عوامل تهدید، وضعیت امنیتی خود را تقویت کنند. ما همچنین یک مشاوره عمومی مرتبط (FG-IR-24-423) منتشر کردهایم که راهنماییهای کاهش خطر، از جمله راهحلهای موقتی و بهروزرسانیهای پچ را تکرار میکند. از مشتریان میخواهیم که راهنماییهای ارائهشده را دنبال کنند تا راهحلها و اصلاحات را پیادهسازی کنند و به رصد صفحه مشاوره ما برای بهروزرسانیها ادامه دهند. ما به همکاری با سازمانهای دولتی بینالمللی و سازمانهای تهدید صنعتی در چهارچوب پاسخ مستمر خود ادامه میدهیم.”
با این حال، مشتریان فورتینت نسبت به نحوه افشای آسیبپذیری ابراز ناامیدی کردهاند. برخی از مشتریان FortiManager از عدم دریافت اطلاعرسانی قبلی شکایت کرده و مجبور شدند برای آگاهی از آسیبپذیری روز صفر به اطلاعات فاششده متکی شوند.
منبع: www.bleepingcomputer.com
