المهاجمون يستمرون في الوصول إلى أجهزة FortiGate بالرغم من ترقيع الثغرات الأمنية

المهاجمون يستمرون في الوصول إلى أجهزة FortiGate بالرغم من ترقيع الثغرات الأمنية
المهاجمون يستمرون في الوصول إلى أجهزة FortiGate بالرغم من ترقيع الثغرات الأمنية
شارك هذا الخبر

كشفت شركة Fortinet المختصة بأمن الشبكات أن جهات تهديد تمكنت من الحفاظ على وصول للقراءة فقط (Read-Only Access) إلى أجهزة FortiGate الضعيفة حتى بعد ترقية الأنظمة وسد الثغرات المستخدمة في الاختراق الأولي.

ويُعتقد أن المهاجمين استغلوا عدة ثغرات أمنية معروفة ومُعالجة سابقًا، أبرزها:

  • CVE-2022-42475

  • CVE-2023-27997

  • CVE-2024-21762

تفاصيل الهجوم: استغلال الروابط الرمزية (Symlink) في SSL-VPN

قالت Fortinet في تنبيه أمني أصدرته يوم الخميس:

“قام أحد المهاجمين باستخدام ثغرة معروفة لإنشاء وصول للقراءة فقط إلى أجهزة FortiGate المستهدفة، من خلال إنشاء رابط رمزي (Symlink) يربط بين نظام ملفات المستخدم وجذر النظام في مجلد خاص بخدمة SSL-VPN للغات.”

هذا التعديل تم في نظام ملفات المستخدم، ما سمح بتجاوز آليات الكشف، وترك الرابط الرمزي الخبيث قائمًا حتى بعد تثبيت التحديثات الأمنية.

ماذا يعني ذلك؟

  • المهاجمون أصبح بإمكانهم قراءة ملفات النظام، بما في ذلك إعدادات التهيئة (Configuration Files)

  • الوصول لا يشمل القدرة على التعديل، لكنه يشكل خطورة على سرية المعلومات

  • الأجهزة التي لم يتم تفعيل ميزة SSL-VPN عليها غير متأثرة بهذه الثغرة

 من هم المتأثرون؟ وما حجم التهديد؟

لم تحدد Fortinet الجهة التي تقف خلف الهجوم، لكنها أوضحت أن الحملة ليست موجهة لمنطقة أو قطاع محدد.

كما تم إبلاغ العملاء المتأثرين مباشرة، مع التوصية باتخاذ خطوات عاجلة لتأمين الأنظمة.

 التحديثات الأمنية والتدابير الوقائية من Fortinet

أصدرت Fortinet تحديثات متعددة لنظام FortiOS من أجل إزالة الروابط الرمزية الخبيثة ومنع استغلالها مستقبلًا:

تحديثات البرامج:

  • FortiOS 7.4، 7.2، 7.0، 6.4: تم تعليم الرابط الرمزي على أنه خبيث ليتم حذفه تلقائيًا من قبل محرك مضاد الفيروسات

  • FortiOS 7.6.2، 7.4.7، 7.2.11، 7.0.17، 6.4.16: تمت إزالة الرابط الرمزي، كما تم تعديل واجهة SSL-VPN لمنع خدمة ملفات تحتوي على روابط رمزية خبيثة

توصيات Fortinet:

  • التحديث إلى إحدى نسخ FortiOS التالية:
    7.6.2 / 7.4.7 / 7.2.11 / 7.0.17 / 6.4.16

  • مراجعة إعدادات الأجهزة

  • التعامل مع جميع الإعدادات على أنها قد تكون مُخترقة

  • تنفيذ إجراءات الاسترداد المناسبة

 تحذيرات إضافية من وكالات الأمن السيبراني

أصدرت وكالة الأمن السيبراني الأمريكية CISA تنبيهًا خاصًا، أوصت فيه بـ:

  • إعادة تعيين بيانات الاعتماد المعرضة

  • تعطيل ميزة SSL-VPN مؤقتًا إلى حين تثبيت التحديثات

  • التأكد من مراجعة الأنشطة المشبوهة السابقة

كما صرّح فريق الطوارئ الفرنسي CERT-FR بأنه على علم بحالات اختراق تعود إلى بدايات عام 2023.

 تحليل الخبراء: الهجمات تتطور أسرع من التحديثات

في تصريح لموقع The Hacker News، قال بنجامين هاريس، المدير التنفيذي لشركة watchTowr:

“الاستغلال في العالم الحقيقي أصبح أسرع بكثير مما يمكن للمؤسسات مجاراته من حيث التحديثات.”

وأضاف:

“الأمر الأخطر، أننا نشهد مرات متكررة يقوم فيها المهاجمون بزرع برمجيات خبيثة وأبواب خلفية مصممة خصيصًا للبقاء فعالة حتى بعد التحديثات، وإعادة ضبط المصنع، والترقيات.

وأكد أيضًا أن عدة عملاء في قطاعات البنية التحتية الحرجة تأثروا بهذا النوع من الهجمات، ما يُبرز خطورتها الكبيرة.

 أهم التوصيات لمستخدمي FortiGate

  • حدث نظام FortiOS فورًا إلى الإصدارات الآمنة المذكورة

  • قم بمراجعة شاملة للإعدادات والتكوينات

  • راقب الملفات والسجلات بحثًا عن روابط رمزية مشبوهة

  • أعد تعيين كلمات المرور وبيانات الاعتماد الحساسة

  • فكر في تعطيل SSL-VPN مؤقتًا إذا لم يكن ضرورياً

وسوم
محمد طاهر
محمد طاهر
المقالات: 182

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة