سوءاستفاده مهاجمان از آسیب‌پذیری روز صفر فورتی‌نت

آسیب‌پذیری روز صفر فورتی‌نت، مهاجمان احراز هویت نشده را قادر می‌سازد تا کد مخرب و دلخواه را به طور بالقوه و از راه دور در تجهیزات آسیب‌پذیر اجرا کنند.
به‌گزارش مرکز مدیریت راهبردی افتا، مهاجمان با سوءاستفاده از این آسیب‌پذیری اقدام به نصب بدافزار کرده و به شدت بر حفظ ماندگاری در سیستم و فرار از راهکارهای تشخیصی تمرکز دارند تا بتوانند لاگ‌های گزارش را حذف کنند یا حتی در صورت لزوم، پروسه‌های مربوط به لاگ‌ها را از بین ببرند.
کدهای مخرب (Payload) مضاعف دانلود شده در دستگاه‌های آسیب‌پذیر ضمن نصب بدافزار، سیستم‌های پیشگیری از نفوذ (IPS) را غیرفعال می‌کنند، این دستگاه‌ها جهت پیشگیری از نفوذ امنیتی طراحی شده و با رصد مداوم بر ترافیک شبکه سعی در شناسایی تهدیدات دارند.
شرکت فورتی‌نت هشدار داده که در طی حمله، Payload مخرب از یک سایت راه دور دانلود شده است،‌ اما این محققان موفق به بازیابی آن برای تحلیل نشدند.

شرکت فورتی‌نت (Fortinet) با انتشار توصیه‌نامه‌ای، چندی‌پیش نسبت به سوءاستفاده فعال مهاجمان از نقصی در FortiOS SSL-VPN هشدار داد و اکنون وصله این آسیب‌پذیری با شناسه CVE-2022-42475 ارائه شده است.
گزارش فورتی‌نت حاکیست: مهاجمان از آسیب‌پذیری CVE-2022-42475 برای هک FortiOS SSL-VPN و توزیع بدافزارها استفاده می‌کنند.
به نقل از محققان شرکت فورتی‌نت، پیچیدگی بالای سوءاستفاده از این آسیب‌پذیری نیازمند تخصص بالای مهاجمان و هدفمند بودن حملات است.
مشروح گزارش این شرکت به همراه نشانه‌های آلودگی (Indicators-of-Compromise – به اختصار IoC) آن در نشانی زیر قابل مطالعه است:

https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd

فورتی‌نت به تمامی مشتریان توصیه می‌کند که در اسرع وقت ضمن اعمال وصله منتشر شده، FortiOS را به آخرین نسخه ارتقاء دهند تا از حملات در امان باشند.

منبع:

https://www.bleepingcomputer.com/news/security/fortinet-govt-networks-targeted-with-now-patched-ssl-vpn-zero-day/