فورتینت (Fortinet)، یازدهم فوریه ۲۰۲۵، یک سری به روزرسانی امنیتی برای پچ چندین آسیب پذیری با ریسک بالا در مجموعه محصولات خود، از جمله FortiOS، FortiProxy، FortiManager و FortiAnalyzer منتشر کرد.
فورتینت هشدار داده است که یک آسیب پذیری روز صفر پچ شده با شناسه CVE-2024-55591 و آسیب پذیری CVE-2025-24472 وجود دارند که به مهاجمان امکان میدهند تا مکانیزم احراز هویت را دور بزنند و به دسترسی super-admin در دستگاههای آسیب پذیر دست یابند.
آسیب پذیری CVE-2024-55591 در واقع به مهاجمان از راه دور اجازه میدهد تا مکانیزم احراز هویت را دور بزنند و از طریق درخواستهای دستکاری شده به ماژول وبسوکت Node.js، سطح دسترسی super-admin را در دستگاههایی همچون فایروالها و SSL VPNها به دست آورند که خطرات قابلتوجهی را برای شبکههای سازمانی ایجاد خواهد کرد.
CVE-2025-24472 نیز یک آسیب پذیری دور زدن مکانیزم احراز هویت با استفاده از مسیر یا کانال جایگزین (CWE-288) است که در نسخههای 7.0.0 تا 7.0.16 محصول FortiOS و 7.2.0 تا 7.2.12 و 7.0.0 تا 7.0.19 محصول FortiProxy وجود دارد. سوء استفاده از این آسیب پذیری ممکن است به مهاجم از راه دور این امکان را بدهد که با ارسال درخواستهای دستکاری شده به پروکسی CSF، به سطح دسترسی super-admin دست یابد.
این دو آسیب پذیری در نسخههای زیر پچ شدهاند:
- FortiOS: پچ شده در نسخههای 7.0.17 و بالاتر
- FortiProxy: پچ شده در نسخههای 7.0.20 و بالاتر
- FortiProxy: پچ شده در نسخههای 7.2.13 و بالاتر
آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) این آسیب پذیریها را در ماه ژانویه به فهرست آسیب پذیریهای اکسپلویت شده (KEV) خود افزود و از آژانسهای فدرال خواسته بود تا تاریخ ۲۱ ژانویه ۲۰۲۵ این پچها را اعمال کنند.
بطور کلی فورتینت، یازدهم فوریه ۲۰۲۵، لیستی را منتشر کرد که شامل به روزرسانی یک آسیب پذیری قدیمی و انتشار ۱۰ آسیب پذیری جدید بود. این آسیب پذیریها شامل command injection، پیمایش مسیر (path traversal)، حملات XSS و آسیب پذیریهای انکار سرویس (DoS) میباشند. لیست این آسیب پذیریها به شرح زیر است:
CVE | CVSS | محصولات آسیب پذیر | شرح آسیب پذیری | شناسه Advisory |
9.6 | FortiOS FortiProxy | دور زدن مکانیزم احراز هویت از طریق ماژول WebSocket در Node.js که دسترسی super-admin را فراهم میکند. | ||
7.5 | FortiOS | حمله DoS به دستگاه از طریق نقصهای کتابخانه apreq در مدیریت بارگذاری فایل. | ||
4.1 | FortiAnalyzer | افشای لاگهای مربوط به ADOMهای نامرتبط در Log View. | ||
6.4 | FortiOS, FortiProxy, FortiPAM | آسیب پذیری فرمت رشته در دستورات CLI | ||
5.9 | FortiAnalyzer, FortiManager | وارد کردن دادههای حساس در لاگهای رخداد | ||
7.7 | FortiOS | سرریز بافر Stack در ماژول کنترل CAPWAP | ||
8.0 | FortiOS | افزایش سطح دسترسی از طریق پیکربندی نادرست Security Fabric | ||
5.3 | FortiManager, FortiManager Cloud | استفاده از کلیدهای رمزگذاری هاردکد شده | ||
6.9 | FortiSandbox | حمله XSS از طریق درخواستهای HTTP دستکاری شده | ||
5.9 | FortiAnalyzer | آسیب پذیری پیمایش مسیر (Path Traversal) به کاربر admin احراز هویت شده این امکان را مدهد که هر فایلی را در سیستم حذف کند. | ||
6.8 | FortiAnalyzer, FortiAnalyzer Cloud, FortiManager, FortiManager Cloud | یک مهاجم دارای دسترسی میتواند کد یا دستورات غیرمجاز را از طریق درخواستهای HTTPS یا HTTP ساخته شده اجرا کند. |
فورتینت توصیه کرده است که پچ آسیب پذیریهای CVE-2024-55591، CVE-2023-37936 و CVE-2024-35279 به دلیل پتانسیل بالای سوء استفاده، در اولویت قرار گیرند.
اقدامات امنیتی
فورتینت از سازمانها خواسته است که:
- فوراً سیستمهای آسیب پذیر را با جدیدترین نسخههای فریمور به روزرسانی کنند.
- دسترسی به اینترفیسهای مدیریتی را محدود کرده و اطمینان حاصل نمایند که این اینترفیسها بهطور عمومی در دسترس نیستند.
- لاگها را برای یافتن IoCهایی مانند ایجاد اکانتهای admin جدید یا تغییر در SSL VPN بررسی کنند.
- احراز هویت چندعاملی (MFA) را برای اکانتهای Admin فعال نمایند.
این بهروزرسانی پس از افشای ۱۵,۰۰۰ داده لاگین فایروالهای FortiGate در دارک وب در ژانویه ۲۰۲۵ منتشر شده است. آسیب پذیری (CVE-2022-40684) فایروالهای FortiGate به سال ۲۰۲۲ باز میگردد. فورتینت در سال ۲۰۲۲، هشدار داد که هکرها از CVE-2022–40684 برای دانلود فایلهای پیکربندی از دستگاههای FortiGate آسیب پذیر و سپس اضافه کردن حساب کاربری مخرب super_admin به «fortigate-tech-support» سوء استفاده کردهاند.
با توجه به اینکه محصولات فورتینت به طور مکرر توسط مهاجمان مورد سوءاستفاده قرار میگیرند، ضروری است که کاربران اقدامات لازم را جهت اعمال آخرین بهروزرسانیها به انجام رسانند.
