فورتی‌نت درباره نقص بحرانی جدید FortiManager هشدار داد.

1403/08/05 Site Admin

فورتی‌نت یک آسیب‌پذیری بحرانی در API FortiManager را که با عنوان CVE-2024-47575 شناخته می‌شود، به ‌صورت عمومی فاش کرد. از این آسیب‌پذیری در حملات روز صفر برای سرقت فایل‌های حساس حاوی پیکربندی‌ها، آدرس‌های IP و اطلاعات احراز هویت دستگاه‌های مدیریت‌شده استفاده شده است. این شرکت از ۱۳ اکتبر به ‌صورت خصوصی و از طریق ایمیل‌های هشدار به مشتریان FortiManager در مورد این نقص اطلاع داده بود و اقداماتی را برای کاهش خطر تا زمان انتشار یک به‌روزرسانی امنیتی پیشنهاد کرد. با این حال، اطلاعات مربوط به این آسیب‌پذیری در طول هفته توسط مشتریان در سایت Reddit منتشر شد. فورتی‌نت اعلام کرد که گروه تهدید جدیدی که با نام UNC5820 شناخته می‌شود، در حال استخراج اطلاعات دقیق پیکربندی دستگاه‌های مدیریت‌شده و همچنین کاربران و رمزهای عبور هش‌شده FortiOS256 است. این داده‌ها می‌توانند توسط UNC5820 برای نفوذ بیشتر به FortiManager، حرکت جانبی به سمت دیگر دستگاه‌های مدیریت‌شده فورتی‌نت و در نهایت هدف قرار دادن کل محیط سازمانی مورد استفاده قرار گیرند. همچنین برخی از مدیران دستگاه‌های Fortinet گزارش داده‌اند که این نقص مدتی است مورد سوءاستفاده قرار گرفته و یکی از مشتریان حملات مربوط به این نقص را پیش از ارسال اعلان‌ها تجربه کرده است. در کامنتی حذف‌شده از Reddit آمده بود: “هفته‌ها پیش از دریافت هشدار اولیه، دچار نفوذ شدیم؛ احتمالاً حمله روز صفر بود.”

افشای عمومی نقص zero-day FortiManager

فورتی‌نت نقص بحرانی FortiManager را که با عنوان CVE-2024-47575 شناخته می‌شود و امتیاز شدت ۹٫۸ از ۱۰ را دارد، به‌ صورت عمومی فاش کرد. طبق اعلامیه امنیتی FG-IR-24-423 فورتی‌نت: “یک نقص احراز هویت در عملکرد بحرانی [CWE-306] در فرایند fgfmd FortiManager ممکن است به یک مهاجم از راه دور و بدون احراز هویت امکان اجرای کد یا دستورات دلخواه را از طریق درخواست‌های خاص بدهد.” گزارش‌ها نشان می‌دهند که این آسیب‌پذیری در محیط‌های واقعی مورد سوءاستفاده قرار گرفته است.

این نقص بر نسخه‌های زیر از FortiManager تأثیر می‌گذارد:

به گفته کوین بیومونت، پژوهشگر امنیت سایبری، اگر یک مهاجم گواهی معتبری به دست بیاورد، اتصال یک دستگاه FortiGate به یک سرور FortiManager که به اینترنت عمومی دسترسی دارد، کار چندان سختی نیست. این گواهی برای ایجاد یک تونل SSL بین FortiGate و سرور FortiManager استفاده می‌شود تا هویت هر دو دستگاه تأیید شود. اما منبعی آگاه از این آسیب‌پذیری گفته است که مشکل اصلی در این مرحله نیست. بلکه، برای اجرای دستورات از طریق API پروتکل FGFM FortiManager، یک سطح اضافی از مجوز لازم است که می‌توان آن را با استفاده از آسیب‌پذیری CVE-2024-47575 دور زد. این نقص در نسخه‌های جدید FortiManager برطرف شده است. این API به مهاجمان اجازه می‌دهد تا دستورات اجرا کنند، اطلاعات استخراج کنند و کنترل کامل دستگاه‌های مدیریت‌شده و FortiManager را به دست آورند تا به شبکه‌های سازمانی دسترسی بیشتری پیدا کنند.

Beaumont هشدار داده: «از آنجا که ارائه ‌دهندگان خدمات مدیریت ‌شده (MSPها) اغلب از FortiManager استفاده می‌کنند، می‌توان از این راه به شبکه‌های داخلی دسترسی یافت.» او افزوده است: «به‌ دلیل طراحی FGFM – در شرایط NAT – اگر به یک فایروال FortiGate مدیریت ‌شده دسترسی پیدا کنید، می‌توانید به دستگاه FortiManager متصل به آن دسترسی یابید و سپس به سایر فایروال‌ها و شبکه‌ها نیز دسترسی پیدا کنید.»

فورتی‌نت روش‌های مختلفی را برای کاهش این حمله ارائه داده است، در صورتی که در حال حاضر امکان نصب آخرین به‌ روزرسانی نرم‌افزاری وجود نداشته باشد:

۱٫ از دستور fgfm-deny-unknown enable استفاده کنید تا از ثبت‌نام دستگاه‌هایی با شماره سریال نامشخص در FortiManager جلوگیری کنید.

۲٫ یک گواهی سفارشی برای استفاده در زمان ایجاد تونل SSL و احراز هویت دستگاه‌های فورتی‌گیت با FortiManager ایجاد کنید.

با این حال، فورتی‌نت هشدار می‌دهد که اگر یک مهاجم بتواند به این گواهی دسترسی پیدا کند، ممکن است از آن برای اتصال به دستگاه‌های فورتی‌گیت و بهره‌برداری از آسیب‌پذیری استفاده کند.

۳٫ یک فهرست مجاز از آدرس‌های IP برای دستگاه‌های فورتی‌گیت که مجاز به اتصال هستند، ایجاد کنید.

سرقت داده‌ها

فورتی‌نت می‌گوید حملات مشاهده شده برای سرقت فایل‌های مختلف از سرور FortiManager استفاده شده که “شامل IPها، اعتبارنامه‌ها و پیکربندی‌های دستگاه‌های مدیریت شده بود.”

این اطلاعات سرقت شده می‌تواند برای یادگیری درباره دستگاه‌های فورتی‌گیت و هدف قرار دادن آن‌ها به منظور دستیابی به دسترسی اولیه به شبکه‌های شرکتی یا مشتریان پایین‌دستی MSPها مورد استفاده قرار گیرد. این شرکت همچنین تأیید می‌کند که هیچ مدرکی مبنی بر نصب بدافزار بر روی خدمات آسیب‌دیده FortiManager یا تغییرات پیکربندی در دستگاه‌های فورتی‌گیت مدیریت شده وجود ندارد. فورتی‌نت در مشاوره امنیتی خود می‌گوید: “در این مرحله، ما گزارشی از نصب‌های سطح پایین بدافزار یا backdoors بر روی این سیستم‌های آسیب‌دیده FortiManager دریافت نکرده‌ایم.”

“تا جایی که ما می‌دانیم، هیچ نشانه‌ای از پایگاه داده‌های تغییر یافته یا اتصالات و تغییرات به دستگاه‌های مدیریت شده وجود ندارد.”

به دلیل حساسیت اطلاعات احتمالی سرقت شده، فورتی‌نت از مدیران سیستم‌ها می‌خواهد که اعتبارنامه‌ها، مانند گذرواژه‌ها و داده‌های حساس کاربران را در تمام دستگاه‌های مدیریت شده تغییر دهند. فورتی‌نت هیچ حمله‌ای را به یک تهدید خاص نسبت نداده و اطلاعاتی درباره تعداد و نوع مشتریانی که تحت تأثیر قرار گرفته‌اند به دلیل تحقیقات جاری ارائه نمی‌دهد. با این حال، فورتی‌نت IOCهای زیر را برای کمک به متخصصان امنیت و مدیران شبکه جهت شناسایی اینکه آیا سرورهای FortiManager آنها از طریق این آسیب‌پذیری مورد حمله قرار گرفته‌اند یا خیر، به اشتراک گذاشته است. حملات مشاهده شده نشان می‌دهد که مهاجمان، دستگاه‌های FortiGate تحت کنترل خود را با نام “localhost” متصل کرده‌اند که در بخش دستگاه‌های ثبت نشده در FortiManager ظاهر خواهد شد.
ورودهای لاگ نشان می‌دهد که مهاجمان دستورات API را برای اضافه کردن این دستگاه‌های “localhost” ثبت نشده صادر کرده‌اند.

یکی دیگر از ورودی های گزارش به اشتراک گذاشته شده توسط Fortinet برای ویرایش تنظیمات دستگاه مورد استفاده قرار گرفت:

فورتی‌نت اعلام کرده است که دستگاه‌های فورتی‌گیت غیرمجاز با شماره سریال FMG-VMTM23017412 مشاهده شده‌اند که به نظر می‌رسد فرمت استفاده شده توسط ماشین‌های مجازی فورتی‌گیت باشد.

سایر شاخص‌های آسیب‌پذیری شامل ایجاد فایل‌های /tmp/.tm و /var/tmp/.tm است.
آدرس‌های IP زیر در حملات مشاهده شده‌اند که همگی در شرکت میزبانی ابری Vultr قرار دارند:

۴۵٫۳۲٫۴۱٫۲۰۲
۱۰۴٫۲۳۸٫۱۴۱٫۱۴۳ (به تازگی برای میزبانی زیرساخت C2 SuperShell مشاهده شده است.)
۱۵۸٫۲۴۷٫۱۹۹٫۳۷
۴۵٫۳۲٫۶۳٫۲

چهارچوب C2 SuperShell به تازگی در حملات به روترهای F5 BIG-IP استفاده شده که با اطمینان متوسط به یک عامل تهدید چینی (جمهوری خلق چین) به نام UNC5174 نسبت داده شده است. فورتی‌نت هشدار می‌دهد که ممکن است همه شاخص‌های آسیب‌پذیری بر روی دستگاه‌های آسیب‌دیده وجود نداشته باشد.

افشای خصوصی منجر به ناامیدی می‌شود.

فورتی‌نت بیانیه‌ای را درباره نقص امنیتی CVE-2024-47575 و چگونگی افشای آن به مشتریان به اشتراک گذاشت.

“پس از شناسایی این آسیب‌پذیری (CVE-2024-47575)، فورتی‌نت به سرعت اطلاعات و منابع حیاتی را به مشتریان منتقل کرد. این اقدام مطابق با فرآیندها و بهترین شیوه‌های ما برای افشای مسئولانه است تا به مشتریان کمک کند قبل از انتشار عمومی مشاوره برای مخاطبان وسیع‌تر، از جمله عوامل تهدید، وضعیت امنیتی خود را تقویت کنند. ما همچنین یک مشاوره عمومی مرتبط (FG-IR-24-423) منتشر کرده‌ایم که راهنمایی‌های کاهش خطر، از جمله راه‌حل‌های موقتی و به‌روزرسانی‌های پچ را تکرار می‌کند. از مشتریان می‌خواهیم که راهنمایی‌های ارائه‌شده را دنبال کنند تا راه‌حل‌ها و اصلاحات را پیاده‌سازی کنند و به رصد صفحه مشاوره ما برای به‌روزرسانی‌ها ادامه دهند. ما به همکاری با سازمان‌های دولتی بین‌المللی و سازمان‌های تهدید صنعتی در چهارچوب پاسخ مستمر خود ادامه می‌دهیم.”

با این حال، مشتریان فورتی‌نت نسبت به نحوه افشای آسیب‌پذیری ابراز ناامیدی کرده‌اند. برخی از مشتریان FortiManager از عدم دریافت اطلاع‌رسانی قبلی شکایت کرده و مجبور شدند برای آگاهی از آسیب‌پذیری روز صفر به اطلاعات فاش‌شده متکی شوند.

منبع: www.bleepingcomputer.com