سواستفاده هکر‌های چینی از آسیب‌پذیری Fortinet VPN به‌عنوان Zero-Day

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir fortinet vpn zero day backdoor china
مجموعه Mandiant گزارش می‌دهد که یک عامل تهدید مرتبط با چین در حال سواستفاده از آسیب‌پذیری Fortinet FortiOS SSL-VPN زمانی که هنوز یک آسیب‌پذیری روز صفر (zero-day) بود، ماه‌ها قبل از انتشار پچ‌ها بوده است.

باگ امنیتی که تحت عنوان CVE-2022-42475 رد‌یابی می‌شود (امتیاز CVSS 9.8)، به‌عنوان یک مشکل سرریز بافر (Buffer Overflow) توصیف می‌شود که می‌تواند توسط مهاجمان از راه دور و احراز هویت نشده برای اجرای کد یا دستورات از طریق درخواست‌های ساخته شده، مورد سواستفاده قرار گیرد.

این نقص بر روی FortiOS SSL-VPN نسخه‌های 7.2.0 - 7.2.2، 7.0.0 - 7.0.8، 6.4.0 - 6.4.10، 6.2.0 - 6.2.11 و 6.0.15 و نسخه‌های قبلی و همچنین FortiProxy SSL-VPN نسخه‌های 7.2.0 - 7.2.1 و 7.0.7 و پیش از آن، تاثیر می‌گذارد.

در دسامبر ٢٠٢٢، Fortinet پچ‌های اضطراری را برای این باگ اعلام کرد و هشدار داد که قبلا در حملات مورد سواستفاده قرار‌گرفته شده‌اند. هفته گذشته، این شرکت هشدار داد که عوامل تهدید در حال سواستفاده از CVE-2022-42475 برای هک سازمان‌ها و دولت‌ها هستند.

این شرکت خاطرنشان کرد که بهره‌برداری مشاهده شده را می‌توان به یک عامل تهدید پیشرفته نسبت داد که بر اساس زمان‌های تدوین بدافزار، می‌تواند جایی در منطقه آسیا-اقیانوسیه قرار داشته باشد.

اکنون Mandiant می‌گوید که یک عامل تهدید مرتبط با چین در اکتبر ٢٠٢٢ سواستفاده از این آسیب‌پذیری را آغاز کرد و یک سازمان دولتی اروپایی و یک ارائه‌دهنده خدمات مدیریتی در آفریقا را هدف قرار داده است.

مهاجمان یک backdoor به نام Boldmove را مستقر کردند که می‌تواند برای فعال کردن حرکت جانبی و تونلینگ (Tunneling) دستورات به سرور Command-and-Control (C&C) استفاده شود. هر دو نوع ویندوز و لینوکس این بدافزار شناسایی شده‌اند که دومی برای اجرا بر روی فایروال‌های FortiGate طراحی شده است.

مجموعه Mandiant می‌گوید مستقیما بهره‌برداری از CVE-2022-42475 برای استقرار Boldmove را مشاهده نکرده است، اما آدرس‌های IP سخت‌افزاری C&C را در بد‌افزاری که Fortinet قبلا با بهره‌برداری از این نقص مرتبط می‌کرد، شناسایی کرده است.

این شرکت اطلاعاتی تهدید، انواع ویندوز بدافزار را که در سال ٢٠٢١ وارد شده بود، کشف کرد، اما می‌گوید که قبلا این تهدید را در حملات مشاهده نکرده است.

اساسا Boldmove یک backdoor کاملا برجسته می‌باشد که به زبان C نوشته شده است، که مجموعه‌ای از ویژگی‌های اصلی در انواع ویندوز و لینوکس شناسایی شده دارد، اما حداقل یک تکرار لینوکس می‌تواند رفتار و عملکرد فایروال‌های Fortinet را تغییر دهد.

این بدافزار شامل پشتیبانی از دستوراتی برای فهرست کردن اطلاعات روی فایل‌ها، ایجاد/حذف پوشه‌ها، جابجایی و جایگزینی فایل‌ها، اجرای دستورات shell، ایجاد یک shell تعاملی و حذف و جایگزینی خود و غیره است.

نسخه مدل توسعه‌یافته Boldmove می‌تواند فرایند‌های خاص پس‌زمینه‌ که درخواست‌ها برای سرویس‌هایی مانند انتقال فایل و غیره را پروسس می‌کند را در Fortinet غیرفعال کند، احتمالا از ورود به سیستم جلوگیری می‌کند، می‌تواند لاگ‌های اختصاصی Fortinet را در سیستم تغییر دهد، و از سویی دارای یک نگهبان است که به آن اجازه می‌دهد در طول ارتقا خود، فعالیتش ادامه داشته باشد، و به مهاجمان اجازه می‌دهد درخواست‌هایی را به یک سرویس داخلی Fortinet ارسال کنند.

مجموعه ماندیانت خاطر‌نشان کرد : "ما با اطمینان کم‌ارزیابی می‌کنیم که این عملیات با جمهوری خلق چین ارتباط دارد. کلاستر‌های China-nexus از لحاظ تاریخی علاقه قابل توجهی به هدف قرار دادن دستگاه‌های شبکه و دستکاری سیستم عامل یا نرم‌افزار‌های زیربنایی که از‌این‌دستگاه‌ها پشتیبانی می‌کنند نشان داده‌اند. "

برچسب ها: China-nexus, Boldmove, FortiProxy SSL-VPN, CVE-2022-42475, سرریز بافر, buffer overflow, Tunneling, FortiOS, Fortinet, China, VPN, دفاع سایبری, تهدیدات سایبری, Cyber Security, فایروال, backdoor, firewall, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ