مهاجمان با هدف قرار دادن یک آسیب پذیری در FortiGate VPN server به شبکه قربانیان رخنه کرده و باجافزار Cring را بر روی دستگاهها توزیع میکنند.
بگزارش مرکز مدیریت راهبردی افتا ، آسیبپذیری سوءاستفاده شده توسط این مهاجمان، CVE-۲۰۱۸-۱۳۳۷۹ گزارش شده است.
بهتازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیبپذیری شامل CVE-۲۰۱۸-۱۳۳۷۹ در محصولات Fortinet خبر داده بودند که جزییات آن در لینک زیر قابل مطالعه است:
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۲۳۳/
CVE-۲۰۱۸-۱۳۳۷۹ ضعفی از نوع Path Traversal است که بخش Web Portal در FortiOS SSL VPN از آن متأثر میشود. سوءاستفاده از این آسیبپذیری، امکان خواندن فایلهای سیستمی از جمله نامهای کاربری و رمزهای عبوری فایل نشستها (Session) بهصورت متن ساده (Plain Text) را برای مهاجم بدون نیاز به اصالتسنجی فراهم میکند.
اگر چه اصلاحیه CVE-۲۰۱۸-۱۳۳۷۹ در می ۲۰۱۹ عرضه شد اما در نوامبر ۲۰۲۰ شرکت سازنده اعلام کرد که سهم قابلتوجهی از سختافزارهای Fortinet به دلیل عدم اعمال اصلاحیه مربوطه توسط راهبران آنها همچنان آسیبپذیر باقی ماندهاند و حتی نشانی IP برخی از آنها تبهکاران سایبری به فروش میرسد.
بر اساس گزارش کسپرسکی در حملات اخیر، بهمحض فراهم شدن دسترسی، مهاجمان از ابزار Mimikatz برای استخراج اطلاعات اصالتسنجی حساب کاربرانی که پیشتر به دستگاه آلوده وارد شده بودند استفاده کرده و در صورت دستیابی به یک حساب کاربری Domain Administrator دامنه نفوذ خود را در سطح شبکه افزایش میدهند. در نهایت نیز با بکارگیری Cobalt Strike باجافزار Cring را بر روی هر ماشین توزیع میکنند.
در جریان این حملات فایل های با هر یک از پسوندهای زیر توسط باج افزار رمزگذاری می شود:
.vhdx (Virtual Hard Disk), .ndf (Microsoft SQL Server secondary database), .wk (Lotus ۱-۲-۳ spreadsheet), .xlsx (Microsoft Excel spreadsheet), .txt (text document), .doc (Microsoft Word document), .docx (Microsoft Word document), .xls (Microsoft Excel spreadsheet), .mdb (Microsoft Access database), .mdf (disk image), .sql (saved SQL query), .bak (backup file), .ora (Oracle database), .pdf (PDF document), .ppt (Microsoft PowerPoint presentation), .pptx (Microsoft PowerPoint presentation), .dbf (dBASE database management file), .zip (archive), .rar (archive), .aspx (ASP.NET webpage), .php (PHP webpage), .jsp (Java webpage), .bkf (backup created by Microsoft Windows Backup Utility), .csv (Microsoft Excel spreadsheet)
مشروح گزارش کسپرسکی در لینک زیر قابل دریافت است:
دیدگاه شما