آسیب‌پذیری‌ در محصولات Fortinet

Fortinet مجموعه‌ای از آسیب‌پذیری‌های امنیتی که چندین محصول این شرکت را تحت تأثیر قرار می‌دهند برطرف نموده است، مجموعه‌ای از نقص‌های با شدت بالا، مانند باگ‌های path traversal در رابط مدیریت FortiDeceptor که ماشین‌های مجازی را به عنوان هانی‌پات برای نفوذگران شبکه مدیریت می‌کند. این غول امنیت سایبری مستقر در کالیفرنیا که بیش از یک سوم کل فایروال‌ها و سیستم‌های مدیریت تهدید یکپارچه را در سراسر جهان به خود اختصاص می‌دهد، تعداد زیادی به‌روزرسانی میان‌افزاری و نرم‌افزاری در روز سه‌شنبه 5 جولای منتشر کرده است.
CVE-2022-26117 : آسیب‌پذیری با شدت بالا (8.0 از 10) در حساب کاربری root پایگاه داده MySQL که محافظت نشده است و در محصول FortiNAC (کنترل دسترسی شبکه) وجود دارد. یک رمز عبور خالی _استفاده از رشته خالی برای رمز عبور_در فایل پیکربندی FortiNAC به مهاجم احرازهویت‌شده اجازه می‌دهد از طریق CLI به پایگاه داده‌های MySQL دسترسی پیدا کند.
CVE-2022-30302 : آسیب‌پذیری‌های path traversal با شدت بالا (7.9 از10) در رابط مدیریت محصول FortiDeceptor که ممکن است به مهاجم احرازهویت‌شده از راه دور اجازه دهد از طریق درخواست‌های وبِ ساختگی، فایل‌های دلخواه را از سیستم‌فایل اصلی بازیابی و حذف کند.
CVE-2021-41031 : آسیب‌پذیری ارتقاء سطح دسترسی با شدت بالا (7.8 از 10) از طریق حمله‌ی directory traversal در محصول FortiClient برای ویندوز، که ممکن است به یک مهاجم غیرمجاز محلی اجازه دهد تا سطح دسترسی خود را از طریق named pipe سرویس FortiESNAC به سطح دسترسی SYSTEM ارتقاء دهد.
CVE-2021-43072 : آسیب‌پذیری سرریز بافر مبتنی بر پشته با شدت بالا (7.4 از 10) از طریق اجرای دستورات ساختگی در CLI محصولات FortiAnalyzer، FortiManager، FortiOS و FortiProxy، که در واقع نقص کپی بافر بدون بررسی اندازه ورودی است _آسیب‌پذیری Classic Buffer Overflow_ که به یک مهاجم دارای حق دسترسی اجازه می‌دهد کد یا دستورات دلخواه خود را از طریق عملیات `execute restore image` و `execute certificate remote` در CLI ساختگی با پروتکل TFTP اجرا نماید.

این آسیب‌پذیری‌ها محصولات Fortinet را به شرح زیر تحت تأثیر قرار می‌دهند:

• CVE-2022-26117 :

fortinet

• CVE-2022-30302 :

fortinet

• CVE-2021-41031 :

fortinet

• CVE-2021-43072 :

fortinet

به کاربران توصیه می‌شود نسخه‌های آسیب‌پذیر محصولات Fortinet خود را به نسخه‌های به‌روزرسانی‌شده که در جداول فوق آورده شده‌اند ارتقاء دهند.

بیشتر بخوانید

سواستفاده هکر‌های چینی از باگ zero-day در فایروال سوفوس

هکر‌های چینی از یک اکسپلویت روز صفر (zero-day) برای یک آسیب‌پذیری با شدت بحرانی در فایروال سوفوس سواستفاده می‌کنند. آن‌ها یک شرکت بزرگ را به خطر انداخته و به سرور‌های وب میزبانی شده در فضای ابری که توسط قربانی مدیریت می‌شد، نفوذ کردند.

سواستفاده از روز صفر

مجموعه Volexity یک حمله از یک گروه APT چینی را فاش کرد که تحت عنوان DriftingCloud معرفی شده است. عامل تهدید از اوایل ماه مارس، فقط سه هفته قبل از انتشار یک پچ توسط Sophos، از نقص CVE-۲۰۲۲-۱۰۴۰ RCE سواستفاده کرده است.

در ماه مارس، Sophos یک توصیه امنیتی درباره این نقص RCE منتشر کرد که بر پورتال کاربر و وب‌ادمین فایروال Sophos تأثیر می‌گذارد.

سه روز بعد، این تأمین‌کننده فایروال هشدار داد و فاش کرد که مجرمان سایبری از این نقص امنیتی برای هدف قرار دادن سازمان‌های مختلف در آسیا سواستفاده می‌کنند.

مهاجمان از نقص‌های روز صفر برای به خطر انداختن فایروال برای نصب webshell backdoors و بدافزار‌ها برای فعال کردن سیستم‌های بیرونی خارج از شبکه محافظت شده توسط Sophos Firewall سواستفاده نمودند.

اطلاعات بیشتر

مهاجم از فریمورک Behinder استفاده می‌کرده که گمان می‌رود توسط سایر گروه‌های APT چینی که از نقص CVE-۲۰۲۲-۲۶۱۳۴ در سرور‌های Confluence استفاده می‌کردند، استفاده می‌شد.

دسترسی به فایروال Sophos اولین گام در حمله است که با تغییر پاسخ‌های DNS برای وب سایت‌های خاص شرکت‌های قربانی، حمله Man-in-the-Middle (MitM) را فعال می‌کند.

مهاجم با استفاده از کوکی‌های سِشِن به سرقت رفته با موفقیت به صفحات مدیریت CMS دسترسی پیدا می‌کند و متعاقباً یک افزونه مدیریت فایل را برای دستکاری فایل‌ها در وب‌سایت نصب می‌کند.

راه حل
سوفوس این نقص را برطرف کرده و اقدامات کاهشی و ضروری را برای کمک به سازمان‌ها در استفاده از فایروال و محافظت در برابر عوامل تهدید که از آسیب‌پذیری سواستفاده می‌کنند، ارائه کرد.

بیشتر بخوانید