استغلال ثغرة يوم الصفر في أنظمة Fortinet

تهديد جديد ليوم الصفر: ما تحتاج إلى معرفته

تستهدف حملة هجوم إلكتروني متطورة ثغرة تجاوز المصادقة المكتشفة مؤخرًا (CVE-2024-55591) في أنظمة FortiOS و FortiProxy من Fortinet. يسمح هذا العيب الخطير للمهاجمين باختطاف واجهات إدارة جدار الحماية والحصول على امتيازات المشرف الفائق واختراق شبكات المؤسسات.

إذا كانت مؤسستك تعتمد على حلول Fortinet، يلزم اتخاذ إجراء فوري للتخفيف من هذه المخاطر.

لمحة سريعة عن الثغرة الأمنية

· CVE-2024-55591: يمكّن الاستغلال المهاجمين من تجاوز المصادقة والحصول على امتيازات المشرف الفائق.

· الإصدارات المتأثرة:

- FortiOS: الإصدارات 7.0.0 إلى 7.0.16 (التصحيح إلى 7.0.17 أو الأحدث).

- FortiProxy: الإصدارات 7.0.0 إلى 7.0.19 (التصحيح إلى 7.0.20 أو الأحدث) و 7.2.0 إلى 7.2.12 (التصحيح إلى 7.2.13 أو الأحدث).

· طريقة الاستغلال: يستخدم المهاجمون طلبات مصممة خصيصًا تستهدف وحدة Node.js WebSocket.

كيفية تقدم الهجوم

تتبع الحملة جدولًا زمنيًا منظمًا للأنشطة:

1. المرحلة 1 (16-23 نوفمبر 2024): المسح بحثًا عن الأنظمة الضعيفة.

2. المرحلة 2 (22-27 نوفمبر 2024): إجراء الاستطلاع.

3. المرحلة 3 (4-7 ديسمبر 2024): تكوين الوصول إلى SSL VPN.

4. المرحلة 4 (16-27 ديسمبر 2024): الحركة الجانبية داخل الشبكة المخترقة.

تشمل التكتيكات التي تمت ملاحظتها ما يلي:

· عمليات تسجيل الدخول غير المصرح بها باستخدام واجهات إدارية.

· إنشاء حسابات إدارية ومستخدمين مارقة.

· تعديل الحسابات الحالية للوصول إلى SSL VPN.

· إنشاء أنفاق VPN من عناوين IP المستضافة بواسطة VPS.

· سرقة بيانات الاعتماد عبر DCSync للوصول بشكل أعمق.

خطوات التخفيف: قم بحماية مؤسستك الآن

1. تقييد الوصول

· تعطيل التعرض العام لواجهات إدارة Fortinet.

· استخدم السياسات المحلية للحد من الوصول الإداري إلى عناوين IP الموثوقة.

2. تطبيق تحديثات الأمان

· قم بالترقية إلى FortiOS 7.0.17 أو أعلى.

· قم بالترقية إلى FortiProxy 7.0.20 أو أعلى.

3. رصد علامات التسوية

· مراجعة السجلات لعمليات تسجيل الدخول غير المصرح بها أو تغييرات الحساب.

· تحقق من النشاط غير المعتاد من عناوين IP غير المألوفة.

4. تحسين الوضع الأمني

· تمكين المصادقة متعددة العوامل (MFA) لجميع الحسابات الإدارية.

· مراجعة سياسات جدار الحماية وتقويتها بانتظام.

التهديدات ذات الصلة التي يجب مراقبتها

هذه الثغرة الأمنية هي جزء من اتجاه أوسع للهجمات على أنظمة Fortinet، بما في ذلك:

· CVE-2023-37936:ثغرة أمنية مستغلة في مفتاح التشفير تتيح تنفيذ التعليمات البرمجية غير المصرح بها.

· CVE-2024-47575 («FortiJump»): يوم الصفر يستهدف أجهزة فورتيمانجر.

ابق يقظًا

مع تزايد تعقيد المهاجمين، تعد التحديثات في الوقت المناسب والمراقبة الاستباقية أفضل دفاع لك. تأكد من تصحيح أنظمتك وحمايتها لتقليل مخاطر الاختراق.