هشدار آمریکا و انگلیس بابت سواستفاده هکرهای ایرانی از نقصهای Microsoft و Fortinet
اخبار داغ فناوری اطلاعات و امنیت شبکه
آژانسهای امنیت سایبری استرالیا، بریتانیا و ایالات متحده روز چهارشنبه هشداری مشترک درباره بهرهبرداری فعال از آسیبپذیریهای Fortinet و Microsoft Exchange ProxyShell توسط عاملان تحت حمایت دولتی ایران برای دسترسی اولیه به سیستمهای آسیبپذیر جهت انجام فعالیتهای بعدی، از جمله استخراج دادهها و اقدامات باجافزاری منتشر کردند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، آژانس دفتر تحقیقات فدرال (FBI)، مرکز امنیت سایبری استرالیا (ACSC) و مرکز امنیت سایبری ملی بریتانیا (NCSC)، در این ادعا بیان کردند که گمان میرود عامل تهدید از چندین آسیبپذیری Fortinet FortiOS استفاده کرده باشد که سابقه آنها به ماه مارس سال ۲۰۲۱ باز میگردد. آنها همچنین نقص اجرای کد از راه دور که بر سرورهای Microsoft Exchange از حداقل ماه اکتبر سال۲۰۲۱ تأثیر گذاشته است را نیز در ادعای خود مطرح نمودند.
بنا بر این گزارش و به نقل از هکر نیوز، ادعا شده است که قربانیان هدف شامل سازمانهای استرالیایی و طیف گستردهای از نهادها در چندین بخش زیرساختی حیاتی ایالات متحده، مانند حمل و نقل و مراقبتهای بهداشتی هستند. لیست نقایص مورد سواستفاده واقع شده، در زیر آمده است:
نقص CVE-2021-34473 (امتیاز CVSS: 9.1) - آسیبپذیری اجرای کد از راه دور Microsoft Exchange Server (معروف به «ProxyShell»).
نقص CVE-2020-12812 (امتیاز CVSS: 9.8) - دور زدن FortiOS SSL VPN 2FA با تغییر حروف نام کاربری.
نقصCVE-2019-5591 (امتیاز CVSS: 6.5) - پیکربندی پیشفرض FortiGate هویت سرور LDAP را تأیید نمیکند.
نقص CVE-2018-13379 (امتیاز CVSS: 9.8) - فایل سیستم FortiOS از طریق SSL VPN به وسیله درخواستهای منابع HTTP طراحیشده، نشت میکنند.
علاوه بر بهرهبرداری از نقصهای FortiOS برای دسترسی به شبکههای آسیبپذیر، CISA و FBI اعلام کردند که مهاجمان را در حال سواستفاده از یک دستگاه فورتیگیت در ماه میسال۲۰۲۱ برای به دست آوردن نقطه اتکایی در وب سرور میزبان دامنه یک سازمان شهرداری دولتی ایالات متحده مشاهده کردهاند. آنطور که ادعا شده است، ماه بعد، عاملان APT "از یک دستگاه Fortigate برای دسترسی به شبکههای کنترل محیطی مرتبط با یک بیمارستان در ایالات متحده که به صورت تخصصی در زمینه مراقبتهای بهداشتی کودکان فعالیت میکند، بهرهبرداری کردند".
این دومین گزارشی است که دولت ایالات متحده از گروههای تهدید دائمی پیشرفته منتشر کرده و هشدار میدهد که مهاجمان سرورهای Fortinet FortiOS را با استفاده از CVE-2018-13379، CVE-2020-12812 و CVE-2019-5591 برای به خطر انداختن سیستمهای متعلق به دولت و بخش تجاری، هدف قرار میدهند.
در راستای اقدامات کاهش مخاطرات، آژانسها به سازمانها توصیه کردهاند که نرمافزارهای تحتتأثیر آسیبپذیریها که در بالا ذکر شدهاند را فوراً پچ کنند، رویههای معمول پشتیبانگیری و بازیابی دادهها را اجرا کنند، سگمنتیشن شبکه را پیادهسازی کنند، حسابها را با احراز هویت چندعاملی ایمن کنند و سیستمهای عامل، نرمافزارها و فریمورها را به محض انتشار بروزرسانیها، پچ نمایند.
برچسب ها: فورتی گیت, فورتی نت, FortiOS SSL VPN, Microsoft Exchange ProxyShell, NCSC, ACSC, Fortinet FortiOS, Microsoft Exchange Server, FortiGate, ProxyShell, سرور, Iran, APT, Fortinet, Microsoft Exchange, cybersecurity, CISA , ایران, آسیبپذیری, FBI, ransomware , VPN, مایکروسافت, باج افزار, امنیت سایبری, Cyber Attacks, حمله سایبری