هشدار Fortinet در خصوص نقص بحرانی FortiOS SSL VPN

Fortinet (فورتینت)، هشتم فوریه ۲۰۲۴ از یک نقص امنیتی بحرانی جدید در FortiOS SSL VPN خبر داد که احتمالاً تا کنون مورد سوء استفاده فعال قرار گرفته است. این آسیب پذیری با شناسه CVE-2024-21762 (امتیاز CVSS: 9.6) دنبال می‌گردد و امکان اجرای کدها و دستورات دلخواه را فراهم می‌آورد.

این شرکت در بیانیه‌ خود اظهار داشت که یک آسیب‌ پذیری نوشتن خارج از محدوده [CWE-787] در FortiOS ممکن است به یک مهاجم تأیید نشده از راه دور اجازه دهد تا کد یا دستور دلخواه را از طریق درخواست‌‌های HTTP ساخته ‌شده خاص اجرا کند.

نسخه‌های زیر تحت تأثیر این آسیب پذیری قرار دارند. شایان ذکر است که FortiOS 7.6 آسیب پذیر نمی‌باشد.

• FortiOS 7.4 (نسخه های 7.4.0 تا 7.4.2) – ارتقا به 7.4.3 یا بالاتر
• FortiOS 7.2 (نسخه های 7.2.0 تا 7.2.6) – ارتقاء به 7.2.7 یا بالاتر
• FortiOS 7.0 (نسخه های 7.0.0 تا 7.0.13) – ارتقاء به 7.0.14 یا بالاتر
• FortiOS 6.4 (نسخه های 6.4.0 تا 6.4.14) – ارتقا به 6.4.15 یا بالاتر
• FortiOS 6.2 (نسخه های 6.2.0 تا 6.2.15) – ارتقا به 6.2.16 یا بالاتر
• FortiOS 6.0 (نسخه های 6.0 همه نسخه ها) – به نسخه ثابت مهاجرت کنید

این توسعه زمانی صورت پذیرفت که Fortinet اصلاحاتی را برای CVE-2024-23108 و CVE-2024-23109 منتشر کرد که بر نرم افزار FortiSIEM تأثیر می‌‌گذارد و به مهاجم غیرمجاز از راه دور اجازه می‌دهد تا دستورات غیرمجاز را از طریق درخواست‌های API ساخته‌ شده اجرا کند.

دولت هلند طی گزارشی که در هفتم فوریه به اشتراک گذاشت، اذعان داشت که یک شبکه کامپیوتری مورد استفاده توسط نیروهای مسلح آن توسط عوامل تهدید تحت حمایت دولت چین با سوء استفاده از نقص‌‌های شناخته شده در دستگاه‌‌های FortiGate برای ارائه یک بکدور به نام COATHANGER مورد حمله قرار گرفته است.

آسیب ‌پذیری‌‌های امنیتی روز N در نرم ‌افزار این شرکت، مانند CVE-2022-42475 و CVE-2023-27997 توسط خوشه‌های فعالیت متعدد برای نفوذ به دولت‌ها، ارائه‌ دهندگان خدمات، مشاوران، تولید کنندگان و سازمان‌های بزرگ زیرساخت‌های حیاتی مورد سوء استفاده قرار گرفته است.

عوامل تهدید چینی پیش از این، با بهره برداری از آسیب پذیری روز صفر از نقص‌های امنیتی در دستگاه‌های FortiGate برای ارائه طیف گسترده‌ای از ایمپلنت‌ها مانند BOLDMOVE، THINCRUST و CASTLETAP مرتبط بودند.

ایالات متحده آمریکا نیز اعلامیه‌ای را در مورد یک گروه تحت حمایت دولت چین به نام Volt Typhoon منتشر کرد که زیرساخت های حیاتی این کشور را برای ایجاد تداوم دسترسی طولانی مدت با بهره گیری از نقص های شناخته شده و روز صفر در تجهیزات شبکه مانند مانند Fortinet، Ivanti Connect Secure، NETGEAR، Citrix و Cisco مورد هدف قرار داده است. چین که این اتهامات را رد کرده و ایالات متحده آمریکا را به انجام حملات سایبری متهم کرده است.

در هر صورت، کمپین‌‌های چین و روسیه بر تهدید فزاینده ‌ای که پیشرفته ترین دستگاه‌ های اینترنت در سال ‌های اخیر با آنها رو به ‌رو هستند، تأکید می ‌کنند، زیرا چنین فناوری‌ هایی فاقد پشتیبانی EDR می باشند و آنها را برای سوء استفاده آماده می‌کنند.

Fortinet خاطرنشان کرد این حملات استفاده از آسیب‌ پذیری ‌های روز N و تکنیک ‌های بعدی را نشان می ‌دهد که به شدت نشان ‌دهنده رفتار به کار گرفته شده توسط گروه‌های سایبری یا گروهی از عوامل تهدید معروف به Volt Typhoon است. این عامل تهدید از این روش ها برای نفوذ به زیرساخت های حیاتی استفاده می کند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در نهم فوریه 2024، CVE-2024-21762 را با استناد به شواهدی مبنی بر بهره برداری فعال، به فهرست آسیب پذیری‌های شناخته و اکسپلویت شده (KEV) اضافه کرد.

آژانس‌ های شعبه اجرایی غیرنظامی فدرال (FCEB) موظف شده‌‌اند تا اصلاحات را تا شانزدهم فوریه ۲۰۲۴ اعمال کنند و شبکه‌های خود را در برابر تهدیدات احتمالی ایمن سازند.

شایان ذکر است که فورتینت، دور دوم به روز رسانی‌های خود را برای رسیدگی به موارد دور زدن نقص بحرانی CVE-2023-34992 (CVSS score: 9.7) که پیش‌تر فاش شده بود، در اوایل فوریه ۲۰۲۴ منتشر کرد. این نقص می‌تواند منجر به اجرای کد دلخواه شود. گزارش کامل این به روزرسانی را در اینجا مطالعه کنید.

منابع