سوءاستفاده از FortiGate VPN برای توزیع باج‌افزار

مهاجمان با هدف قرار دادن یک آسیب پذیری در FortiGate VPN server به شبکه قربانیان رخنه کرده و باج‌افزار Cring را بر روی دستگاه‌ها توزیع می‌کنند.
بگزارش مرکز مدیریت راهبردی افتا ، آسیب‌پذیری سوءاستفاده شده توسط این مهاجمان، CVE-۲۰۱۸-۱۳۳۷۹ گزارش شده است.
به‌تازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیب‌پذیری شامل CVE-۲۰۱۸-۱۳۳۷۹ در محصولات Fortinet خبر داده بودند که جزییات آن در لینک زیر قابل مطالعه است:

https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۲۳۳/


 CVE-۲۰۱۸-۱۳۳۷۹ ضعفی از نوع Path Traversal است که بخش Web Portal در FortiOS SSL VPN از آن متأثر می‌شود. سوءاستفاده از این آسیب‌پذیری، امکان خواندن فایل‌های سیستمی از جمله نام‌های کاربری و رمزهای عبوری فایل نشست‌ها (Session)  به‌صورت متن ساده (Plain Text) را برای مهاجم بدون نیاز به اصالت‌سنجی فراهم می‌کند.
اگر چه اصلاحیه CVE-۲۰۱۸-۱۳۳۷۹ در می ۲۰۱۹ عرضه شد اما در نوامبر ۲۰۲۰ شرکت سازنده اعلام کرد که سهم قابل‌توجهی از سخت‌افزارهای Fortinet به دلیل عدم اعمال اصلاحیه مربوطه توسط راهبران آنها همچنان آسیب‌پذیر باقی مانده‌اند و حتی نشانی IP برخی از آنها تبهکاران سایبری به فروش می‌رسد.

بر اساس گزارش کسپرسکی در حملات اخیر، به‌محض فراهم شدن دسترسی، مهاجمان از ابزار Mimikatz برای استخراج اطلاعات اصالت‌سنجی حساب کاربرانی که پیش‌تر به دستگاه آلوده وارد شده بودند استفاده کرده و در صورت دستیابی به یک حساب کاربری Domain Administrator دامنه نفوذ خود را در سطح شبکه افزایش می‌دهند. در نهایت نیز با بکارگیری Cobalt Strike باج‌افزار Cring را بر روی هر ماشین توزیع می‌کنند.

در جریان این حملات فایل های با هر یک از پسوندهای زیر توسط باج افزار رمزگذاری می شود:

.vhdx (Virtual Hard Disk), .ndf (Microsoft SQL Server secondary database), .wk (Lotus ۱-۲-۳ spreadsheet), .xlsx (Microsoft Excel spreadsheet), .txt (text document), .doc (Microsoft Word document), .docx (Microsoft Word document), .xls (Microsoft Excel spreadsheet), .mdb (Microsoft Access database), .mdf (disk image), .sql (saved SQL query), .bak (backup file), .ora (Oracle database), .pdf (PDF document), .ppt (Microsoft PowerPoint presentation), .pptx (Microsoft PowerPoint presentation), .dbf (dBASE database management file), .zip (archive), .rar (archive), .aspx (ASP.NET webpage), .php (PHP webpage), .jsp (Java webpage), .bkf (backup created by Microsoft Windows Backup Utility), .csv (Microsoft Excel spreadsheet)

مشروح گزارش کسپرسکی در لینک زیر قابل دریافت است:

 https://ics-cert.kaspersky.com/reports/۲۰۲۱/۰۴/۰۷/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/


نشانه‌های آلودگی

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.