آسیب پذیری روز صفر (CVE-2024-55591) فورتینت اکسپلویت شد!

فورتینت (Fortinet) چهاردهم ژانویه ۲۰۲۴ هشداری را در خصوص یک آسیب ‌پذیری بحرانی روز صفر با شناسه CVE-2024-55591 صادر کرد که به طور فعال در حملاتی که فایروال‌های FortiOS و گیت‌وی‌های FortiProxy را هدف قرار می‌دهند، مورد سوء استفاده قرار می‌گیرد.

آسیب‌ پذیری CVE-2024-55591 به مهاجمان از راه دور اجازه می‌دهد تا مکانیزم احراز هویت را دور بزنند و از طریق درخواست‌های دستکاری شده به ماژول وب‌سوکت Node.js، سطح دسترسی super-admin را در دستگاه‌هایی همچون فایروال‌ها و SSL VPN‌ها به دست آورند که خطرات قابل‌توجهی را برای شبکه‌های سازمانی ایجاد خواهد کرد.

اکسپلویت موفق این آسیب پذیری به مهاجمان امکان می‌دهد تا دستورات غیرمجاز را بر روی دستگاه‌های آسیب پذیر بدون نیاز به تعامل با کاربر اجرا کنند.

این آسیب پذیری که از جانب فورتینت با شناسه FG-IR-24-535 دنبال می‌شود، چندین نسخه از محصولات FortiOS و FortiProxy را تحت تاثیر قرار داده و امتیاز CVSS 9.3 از 10 را دریافت کرده است.

فورتینت تایید کرده است که گزارش‌هایی را در خصوص اکسپلویت این آسیب پذیری دریافت کرده است اما دامنه حمله و انتساب آن ناشناخته باقی مانده است.

وضعیت محصولات FortiOS و FortiProxy فورتینت به شرح زیر می‌باشند:

نسخه	وضعیت	راهکار
FortiOS 7.6	تحت تاثیر این آسیب پذیری قرار ندارد	–
FortiOS 7.4	تحت تاثیر این آسیب پذیری قرار ندارد	–
FortiOS 7.2	تحت تاثیر این آسیب پذیری قرار ندارد	–
FortiOS 7.0	7.0.0 تا 7.0.16	به 7.0.17 یا بالاتر ارتقا دهید
FortiOS 6.4	تحت تاثیر این آسیب پذیری قرار ندارد	–
FortiProxy 7.6	تحت تاثیر این آسیب پذیری قرار ندارد	–
FortiProxy 7.4	تحت تاثیر این آسیب پذیری قرار ندارد	–
FortiProxy 7.2	7.2.0 تا 7.2.12	به 7.2.13 یا بالاتر ارتقا دهید
FortiProxy 7.0	7.0.0 تا 7.0.19	به 7.0.20 یا بالاتر ارتقا دهید
FortiProxy 2.0	تحت تاثیر این آسیب پذیری قرار ندارد	–

به نظر می‌رسد که این فعالیت مخرب از اواسط نوامبر ۲۰۲۴ آغاز شده است و هکرهای ناشناس، دسترسی غیرمجاز به اینترفیس‌های مدیریتی در فایروال‌های آسیب پذیر را برای تغییر پیکربندی و استخراج داده‌های لاگین با استفاده از DCSync و ایجاد اتصالات SSL VPN برای حرکت جانبی در شبکه‌ها پیدا کرده‌اند.

بردار دسترسی اولیه در حال حاضر دقیقا مشخص نیست، اگرچه با اطمینان بالایی ارزیابی شده است که احتمالاً ناشی از اکسپلویت یک آسیب ‌پذیری روز صفر می‌باشد.

شاخص‌های نفوذ یا IoCهای مشاهده شده در طول حملات حاکی از آن هستند که مهاجمان یک اکانت admin را در دسامبر ۲۰۲۴ در دستگاه ایجاد کرده‌اند. هکرها همچنین تنظیمات دیگری مانند خط‌مشی یا آدرس فایروال را اضافه کرده‌اند و یا تغییر داده‌اند.IoC ها بیانگر آن هستند که مهاجمان می‌توانند پس از اضافه شدن به عنوان کاربر لوکال، با ورود به سیستم SSL VPN به شبکه سازمان قربانی دسترسی پیدا کنند.

راهکارها و توصیه‌های امنیتی برای مقابله با آسیب پذیری CVE-2024-55591

۱. به‌روزرسانی دستگاه‌ها:

FortiOS: به روزرسانی به نسخه 7.0.17 یا بالاتر.
FortiProxy: به روزرسانی به نسخه 7.2.13 یا بالاتر یا 7.0.20 و بالاتر.

۲. محدود کردن دسترسی به اینترفیس‌های مدیریتی:

دسترسی عموم به اینترفیس‌های مدیریتی فایروال را غیرفعال کنید و یا دسترسی به آنها را به آدرس‌های IP قابل اطمینان محدود نمایید و یا از طریق VPN متصل شوید.

۳. استفاده از احراز هویت چندعاملی (MFA):

فعال‌سازی MFA می‌تواند از دسترسی غیرمجاز به سیستم‌ها جلوگیری کند.

۴. بررسی لاگ‌ها:

بررسی مداوم لاگ‌ها برای شناسایی هرگونه تلاش به منظور دسترسی غیرمجاز یا فعالیت مشکوک در سیستم.

۵. مدیریت دسترسی‌ها:

اطمینان از اینکه دسترسی‌های مدیریتی فقط به افراد مجاز محدود شده‌اند.

سخن پایانی

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) نیز CVE-2024-55591 را به لیست آسیب پذیری‌های شناخته شده (KEV) خود اضافه کرده است و آژانس‌های فدرال ملزم هستند تا به روزرسانی‌های امنیتی را تا ۲۱ ژانویه ۲۰۲۵ اعمال نمایند.

سازمان‌هایی که از محصولات Fortinet استفاده می‌کنند می‌بایست دریافت آخرین به‌روزرسانی‌های امنیتی و بازنگری تنظیمات را به منظور کاهش خطرات مرتبط با این آسیب‌ پذیری بحرانی روز صفر در اولویت قرار دهند.