مركز الأمن السيبراني للأبحاث والدراسات CCRS https://ccforrs.com Sun, 13 Apr 2025 22:13:21 +0000 ar hourly 1 https://wordpress.org/?v=6.6.2 مركز الأمن السيبراني للأبحاث والدراسات CCRS false تنبيه من Fortinet: المهاجمون يحتفظون بالوصول إلى أجهزة FortiGate حتى بعد تثبيت التحديثات عبر استغلال وصلة رمزية في SSL-VPN https://ccforrs.com/%d8%aa%d9%86%d8%a8%d9%8a%d9%87-%d9%85%d9%86-fortinet-%d8%a7%d9%84%d9%85%d9%87%d8%a7%d8%ac%d9%85%d9%88%d9%86-%d9%8a%d8%ad%d8%aa%d9%81%d8%b8%d9%88%d9%86-%d8%a8%d8%a7%d9%84%d9%88%d8%b5%d9%88%d9%84/ https://ccforrs.com/%d8%aa%d9%86%d8%a8%d9%8a%d9%87-%d9%85%d9%86-fortinet-%d8%a7%d9%84%d9%85%d9%87%d8%a7%d8%ac%d9%85%d9%88%d9%86-%d9%8a%d8%ad%d8%aa%d9%81%d8%b8%d9%88%d9%86-%d8%a8%d8%a7%d9%84%d9%88%d8%b5%d9%88%d9%84/#respond Tue, 15 Apr 2025 06:45:03 +0000 https://ccforrs.com/?p=11730 كشفت شركة Fortinet أن جهات تهديد تمكنت من الاحتفاظ بوصول للقراءة فقط إلى أجهزة FortiGate المصابة، حتى بعد تصحيح الثغرات الأمنية التي استُخدمت في البداية لاختراقها.

وأوضحت الشركة أن المهاجمين استغلوا ثغرات أمنية معروفة – جرى تصحيحها لاحقًا – من ضمنها:

  • CVE-2022-42475

  • CVE-2023-27997

  • CVE-2024-21762

وقالت Fortinet في بيان أمني:

“استغل فاعل تهديد ثغرة معروفة لتنفيذ وصول للقراءة فقط على أجهزة FortiGate المصابة. وقد تم ذلك من خلال إنشاء وصلة رمزية (Symlink) تربط بين نظام ملفات المستخدم ونظام ملفات الجذر داخل مجلد مخصص لتقديم ملفات اللغة في واجهة SSL-VPN.”

وصول خفي يستمر بعد التحديث

حدثت التعديلات في نظام ملفات المستخدم، ما جعلها تتفادى الاكتشاف من قبل الأنظمة الأمنية. وبقيت الوصلة الرمزية قائمة حتى بعد تثبيت التحديثات التي أغلقت ثغرة الوصول الأولي، مما سمح للمهاجمين بالوصول إلى ملفات النظام – بما في ذلك ملفات الإعدادات – دون القدرة على التعديل.

لكن تجدر الإشارة إلى أن الأجهزة التي لم تُفعّل وظيفة SSL-VPN لا تتأثر بهذه المشكلة.

لا استهداف جغرافي محدد وتحذيرات للعملاء

لم تُحدد Fortinet الجهة المسؤولة عن هذه الأنشطة، لكنها أكدت أن الهجمات لم تستهدف منطقة جغرافية أو قطاع صناعي معين. كما قامت الشركة بإبلاغ العملاء المتأثرين بشكل مباشر.

خطوات التخفيف من الأثر وتحديثات FortiOS

أصدرت Fortinet مجموعة تحديثات لنظام التشغيل FortiOS لمعالجة المشكلة والحد من استمرارها:

  • في الإصدارات: FortiOS 7.4، 7.2، 7.0، 6.4
    ➤ تم تعريف الوصلة الرمزية كعنصر خبيث ليقوم محرك مكافحة الفيروسات بحذفها تلقائيًا.

  • في الإصدارات: 7.6.2، 7.4.7، 7.2.11، 7.0.17، 6.4.16
    ➤ تم إزالة الوصلة الرمزية وتعديل واجهة SSL-VPN لمنع تحميل أي رموز خبيثة مشابهة.

تنصح Fortinet العملاء بـ:

  • تحديث أجهزتهم إلى الإصدارات المذكورة.

  • مراجعة ملفات الإعدادات باعتبارها قد تكون تعرضت للاختراق.

  • تنفيذ خطوات التعافي المناسبة.

تحذيرات من CISA وCERT-FR

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرًا خاصًا، نصحت فيه المستخدمين بـ:

  • إعادة تعيين بيانات الاعتماد المكشوفة.

  • تعطيل وظيفة SSL-VPN مؤقتًا حتى يتم تثبيت التحديثات.

كما أشار فريق الاستجابة للطوارئ في فرنسا (CERT-FR) إلى أن بعض حالات الاختراق تعود إلى بدايات عام 2023.

تصريحات من watchTowr: الهجمات أصبحت أسرع من التحديثات

قال “بنيامين هاريس”، الرئيس التنفيذي لشركة watchTowr، إن الحادثة تثير القلق لأمرين:

“أولاً، أصبح الاستغلال في العالم الحقيقي أسرع بكثير من قدرة المؤسسات على تثبيت التحديثات.”
“ثانيًا، والأخطر، أن المهاجمين باتوا على دراية عميقة بهذا الواقع.”

وأوضح أن الهجمات لم تعد تكتفي بالاستغلال المؤقت، بل أصبح القراصنة ينشرون أبوابًا خلفية مصممة للبقاء حتى بعد التحديثات أو إعادة ضبط الأجهزة للمصنع.

وأضاف أن شركته رصدت حالات تثبيت أبواب خلفية في مؤسسات تُعتبر جزءًا من البنية التحتية الحيوية.

]]> https://ccforrs.com/%d8%aa%d9%86%d8%a8%d9%8a%d9%87-%d9%85%d9%86-fortinet-%d8%a7%d9%84%d9%85%d9%87%d8%a7%d8%ac%d9%85%d9%88%d9%86-%d9%8a%d8%ad%d8%aa%d9%81%d8%b8%d9%88%d9%86-%d8%a8%d8%a7%d9%84%d9%88%d8%b5%d9%88%d9%84/feed/ 0