كشفت شركة Fortinet، الرائدة عالميًا في حلول الأمن السيبراني، عن أسلوب متقدم يستخدمه قراصنة للاحتفاظ بالوصول إلى أجهزة FortiGate حتى بعد تطبيق التصحيحات الأمنية اللازمة التي أُصدرت لسد الثغرات الأولية المستخدمة في الاختراق.
كيف يحتفظ القراصنة بالوصول رغم التحديثات؟
بحسب تنبيه أمني صدر حديثًا عن الشركة، تمكن المهاجمون من الحفاظ على وصول للقراءة فقط إلى الأجهزة المخترقة، من خلال إنشاء رابط رمزي (Symbolic Link – Symlink) يربط بين نظام ملفات المستخدم ونظام الجذر ضمن مجلد خاص بلغة واجهة مستخدم خدمة SSL-VPN.
التفصيل التقني:
استغل المهاجمون آلية عمل مجلد اللغة ضمن SSL-VPN لإنشاء رابط رمزي يسمح لهم بمراقبة النظام والوصول إلى بعض البيانات دون القدرة على تعديلها، مما يجعل نشاطهم خفيًا لفترة طويلة بعد الاختراق.
فورتينت تُصدر تحديثًا عاجلًا
أكدت Fortinet أنها أطلقت تحديثات أمنية جديدة لإزالة هذا السلوك الضار ومنع إمكانية استغلاله مستقبلًا، داعية جميع عملائها إلى التحقق من إصدار البرنامج الثابت على أجهزة FortiGate الخاصة بهم والتحديث فورًا إلى الإصدار الآمن.
خلفية: ثغرات FortiGate السابقة واستهداف VPNs
تعرضت أجهزة FortiGate في السنوات الأخيرة إلى سلسلة من الهجمات المتقدمة على خدمات VPN الخاصة بها، استهدفت المؤسسات الحكومية والشركات والبنى التحتية الحساسة. وقد استخدمت مجموعات تهديد متقدمة تقنيات معقدة، أبرزها:
-
استغلال ثغرات في واجهة SSL-VPN للوصول الأولي
-
تنفيذ تعليمات برمجية عن بُعد (RCE)
-
زرع أبواب خلفية (Backdoors) داخل الأنظمة المستهدفة
التوصيات الأمنية من Fortinet:
-
تحديث أجهزة FortiGate إلى آخر إصدار من البرنامج الثابت.
-
التحقق من أي روابط رمزية غير معتادة في نظام الملفات.
-
مراجعة سجلات الوصول إلى SSL-VPN بحثًا عن أي نشاط مشبوه.
-
تفعيل سجل التدقيق وتطبيق سياسات IAM صارمة.
-
تنفيذ مسح دوري للثغرات ودمج أدوات EDR وNDR لمراقبة الشبكة.
