FortinetFortinet یک نقص امنیتی مهم جدید را در FortiOS SSL VPN فاش کرده است که گفته است احتمالاً در سطح اینترنت مورد بهره‌برداری قرار می‌گیرد.

آسیب‌پذیری CVE-2024-21762 (امتیاز ۶/۹ در مقیاس CVSS)، امکان اجرای کدها و دستورات دلخواه را فراهم می کند.

این شرکت در بولتنی که پنجشنبه ۸ فوریه ۲۰۲۴ منتشر شد، گفت[۱]: «یک آسیب‌پذیری نوشتن خارج از محدوده [CWE-787] در FortiOS ممکن است به یک مهاجم تأیید نشده از راه دور اجازه دهد تا کد یا دستور دلخواه را از طریق درخواست‌های HTTP ساخته‌شده خاص اجرا کند».

علاوه بر این اذعان کرد که این موضوع “به طور بالقوه در سطح اینترنت مورد بهره‌برداری قرار می‌گیرد”، بدون اینکه جزئیات بیشتری در مورد نحوه استفاده از آن و توسط چه کسی ارائه شود.

نسخه‌های زیر تحت‌تأثیر این آسیب‌پذیری قرار دارند. شایان‌ذکر است که FortiOS 7.6 تحت‌تأثیر قرار نگرفته است.

  • FortiOS 7.4 (versions 7.4.0 through 7.4.2) – Upgrade to 7.4.3 or above
  • FortiOS 7.2 (versions 7.2.0 through 7.2.6) – Upgrade to 7.2.7 or above
  • FortiOS 7.0 (versions 7.0.0 through 7.0.13) – Upgrade to 7.0.14 or above
  • FortiOS 6.4 (versions 6.4.0 through 6.4.14) – Upgrade to 6.4.15 or above
  • FortiOS 6.2 (versions 6.2.0 through 6.2.15) – Upgrade to 6.2.16 or above
  • FortiOS 6.0 (versions 6.0 all versions) – Migrate to a fixed release

این توسعه زمانی انجام می‌شود که Fortinet وصله‌هایی را برای CVE-2024-23108 و CVE-2024-23109 منتشر کرده است[۲] که بر سرپرست FortiSIEM تأثیر می‌گذارد و به مهاجم غیرمجاز از راه دور اجازه می‌دهد تا دستورات غیرمجاز را از طریق درخواست‌های API ساخته‌شده اجرا کند.

اوایل این هفته، دولت هلند فاش کرد[۳] که یک شبکه کامپیوتری مورداستفاده توسط نیروهای مسلح توسط بازیگران تحت حمایت دولت چین با بهره‌برداری از نقص‌های شناخته شده در دستگاه‌های Fortinet FortiGate برای ارائه یک درب پشتی به نام COATHANGER نفوذ کرده است.

این شرکت در گزارشی که این هفته منتشر شد، فاش کرد که آسیب‌پذیری‌های امنیتی روز N در نرم‌افزار خود، مانند [۴]CVE-2022-42475 و CVE-2023-27997[5]، توسط کلاسترهای فعالیت متعدد برای هدف قراردادن دولت‌ها، ارائه‌دهندگان خدمات، مشاوران و سازمان‌های بزرگ زیرساخت‌های حیاتی مورد بهره‌برداری قرار می‌گیرند.

پیش‌ازاین، عوامل تهدید چینی با بهره‌برداری از نقص روز صفر از نقص‌های امنیتی در دستگاه‌های Fortinet برای ارائه طیف گسترده‌ای از ایمپلنت‌ها مانند BOLDMOVE، THINCRUST و CASTLETAP مرتبط بودند.

همچنین به دنبال گزارش دولت ایالات متحده[۶] در مورد یک گروه تحت حمایت دولت چین به نام Volt Typhoon است که زیرساخت‌های حیاتی این کشور را برای تداوم ناشناخته طولانی‌مدت با بهره‌گیری از نقص‌های شناخته شده و روز صفر در وسایل شبکه مانند Fortinet، Ivanti Connect Secure، NETGEAR، Citrix و Cisco برای دسترسی اولیه هدف قرار داده است.

چین که این اتهامات را رد کرده است[۷]، ایالات متحده را به انجام حملات سایبری خود متهم کرده است.

درهرصورت، کمپین‌های چین[۸] و روسیه[۹] بر تهدید فزاینده‌ای که دستگاه‌های دارای اینترنت در سال‌های اخیر با آن‌ها روبه‌رو هستند، تأکید می‌کند، زیرا چنین فناوری‌هایی فاقد پشتیبانی تشخیص نقطه پایانی و پاسخ (EDR) هستند و آنها را برای سوءاستفاده آماده می‌کند.

Fortinet گفت[۱۰]: “این حملات استفاده از آسیب‌پذیری‌های روز N و تکنیک‌های متعاقب آن را نشان می‌دهد که به‌شدت نشان‌دهنده رفتاری است که توسط بازیگر سایبری یا گروهی از بازیگران معروف به Volt Typhoon به کار گرفته شده است. از این روش‌ها برای هدف قراردادن زیرساخت‌های حیاتی و احتمالاً سایر بازیگران مجاور استفاده می‌کند.”

CISA بهره‌برداری از CVE-2024-21762# را تأیید کرد.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در ۹ فوریه ۲۰۲۴، CVE-2024-21762 را با استناد به شواهدی مبنی بر بهره‌برداری فعال در سطح اینترنت، به کاتالوگ آسیب‌پذیری های مورد بهره‌برداری شناخته شده ([۱۱]KEV) اضافه کرد[۱۲].

آژانس‌های شعبه اجرایی غیرنظامی فدرال (FCEB) موظف شده‌اند تا اصلاحات را تا ۱۶ فوریه ۲۰۲۴ اعمال کنند تا شبکه‌های خود را در برابر تهدیدات احتمالی ایمن کنند.

  منابع

[۱] https://fortiguard.fortinet.com/psirt/FG-IR-24-015

[۲] https://thehackernews.com/2024/02/critical-patches-released-for-new-flaws.html

[۳] https://thehackernews.com/2024/02/chinese-hackers-exploited-fortigate.html

[۴] https://thehackernews.com/2022/12/fortinet-warns-of-active-exploitation.html

[۵] https://thehackernews.com/2023/07/alert-330000-fortigate-firewalls-still.html

[۶] https://thehackernews.com/2024/02/chinese-hackers-operate-undetected-in.html

[۷] https://edition.cnn.com/2024/02/07/politics/china-hacking-us-agencies-report/index.html

[۸] https://edition.cnn.com/2024/02/07/politics/china-hacking-us-agencies-report/index.html

[۹] https://thehackernews.com/2023/04/us-and-uk-warn-of-russian-hackers.html

[۱۰] https://www.fortinet.com/blog/psirt-blogs/importance-of-patching-an-analysis-of-the-exploitation-of-n-day-vulnerabilities

[۱۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[۱۲] https://www.cisa.gov/news-events/alerts/2024/02/09/cisa-adds-one-known-exploited-vulnerability-catalog

[۱۳] https://thehackernews.com/2024/02/fortinet-warns-of-critical-fortios-ssl.html