هشدار Fortinet! حفظ پایداری دسترسی مهاجمان به دستگاه‌های FortiGate پس از پچ‌کردن از طریق سوءاستفاده از symlink در SSL-VPN

شرکت Fortinet اعلام کرده‌است که مهاجمان راهی پیدا کرده‌اند تا حتی پس از پچ‌شدن مسیر نفوذ اولیه، همچنان دسترسی فقط خواندنی (read-only) به دستگاه‌های آسیب‌پذیر FortiGate را حفظ کنند.

بر اساس اعلام Fortinet، مهاجمان از آسیب‌پذیری‌های شناخته‌شده و حالا پچ‌شده، از جمله CVE-2022-42475، CVE-2023-27997 و CVE-2024-21762 سوءاستفاده کرده‌اند.

نحوه حفظ دسترسی مهاجمان به دستگاه‌های آسیب‌پذیر FortiGate

Fortinet در یک مشاوره امنیتی در تاریخ 10 آوریل اعلام کرد که یک مهاجم از یک آسیب‌پذیری شناخته‌شده برای ایجاد دسترسی فقط خواندنی به دستگاه‌های FortiGate آسیب‌پذیر استفاده کرده است. این کار با ایجاد یک لینک نمادین (symlink) میان فایل‌های کاربری و فایل‌های root در یک فولدر مخصوص فایل‌های زبانی SSL-VPN انجام شده است.

Fortinet توضیح داده‌است که این تغییرات در سیستم فایل کاربر اعمال شده و توانسته‌است از شناسایی فرار کند. در نتیجه، symlink در سیستم باقی می‌ماند؛ حتی پس از این‌که آسیب‌پذیری‌های اولیه پچ شده‌اند.
این موضوع به مهاجمان امکان داده تا به فایل‌های سیستم (از جمله فایل‌های پیکربندی) دسترسی فقط خواندنی داشته باشند. البته، کاربرانی که SSL-VPN را فعال نکرده‌اند در معرض این آسیب‌پذیری قرار نگرفته‌اند.

هنوز مشخص نیست این حملات کار کدام گروه بوده است؛ اما Fortinet اعلام کرده‌است شواهدی از هدف قرار دادن منطقه یا صنعت خاصی در دست نیست. همچنین به مشتریان آسیب‌دیده به‌طور مستقیم اطلاع داده شده است.

اقدامات حفاظتی و نسخه‌های پچ‌شده

برای جلوگیری از تکرار این اتفاق، Fortinet چندین آپدیت برای نسخه‌های مختلف FortiOS ارائه داده است:

• در نسخه های 7.4، 7.2، 7.0، 6.4 : symlink به‌عنوان فایل مخرب علامت‌گذاری شده و توسط آنتی‌ویروس حذف می‌شود.
• در نسخه های 7.6.2، 7.4.7، 7.2.11، 7.0.17 و 6.4.16 :symlink  حذف شده و رابط کاربری SSL-VPN به‌گونه‌ای تغییر کرده که از استفاده کردن این لینک‌های نمادین جلوگیری شود.

Fortinet به مشتریان توصیه می‌کند تا حتما دستگاه‌های خود را به نسخه‌های 7.6.2، 7.4.7، 7.2.11، 7.0.17 یا 6.4.16 ارتقاء دهند، تنظیمات دستگاه‌ها را بررسی کنند و همه تنظیمات را به‌عنوان احتمالا آلوده‌شده در نظر گرفته و اقدامات لازم را برای بازیابی انجام دهند.

هشدارهای نهادهای امنیتی

آژانس امنیت سایبری و زیرساخت آمریکا (CISA) نیز هشدار مشابهی منتشر کرده و از کاربران خواسته‌است تا اطلاعات کاربری افشا شده را ریست کنند و در صورت امکان، تا زمان اعمال پچ‌ها، قابلیت SSL-VPN را غیرفعال کنند. همچنین مرکز CERT-FR فرانسه اعلام کرده‌است از وقوع این نوع نفوذها از اوایل ۲۰۲۳ مطلع بوده است.

مدیرعامل شرکت watchTowr، آقای بنجامین هریس، نیز بیان کرده‌است که این حادثه از دو جهت نگران‌کننده است:

1. سرعت سوءاستفاده مهاجمان از آسیب‌پذیری‌ها در دنیای واقعی بسیار سریع‌تر از سرعت پچ‌کردن سازمان‌ها شده است و مهاجمان به‌خوبی به این موضوع آگاهند.
2. مهاجمان در بسیاری از موارد، امکانات و بکدورهایی را پس از نفوذ سریع مستقر می‌کنند که از فرآیندهای پچ، ارتقاء و حتی بازگشت به تنظیمات کارخانه جان سالم به در می‌برند و به این ترتیب، دسترسی خود را حفظ می‌کنند.

منابع: