بلاگ
بهره‌برداری مهاجمان سایبری از آسیب‌پذیری‌های Fortinet
بهره‌برداری مهاجمان سایبری از آسیب‌پذیری‌های Fortinet

مطابق گزارش اخیر FBI، گروه APT یا هکرهای حامی دولت از نقاط ضعف موجود در VPNهای به‌روز نشده Fortinet  از یک وب سرور متعلق به یکی از شهرداری‌های آمریکا سوءاستفاده کردند.
گروه APT مذکور پس از دسترسی به وب سرور، سرورها و حساب کاربری جدید ایجاد کردند.
طبق گفته FBI، گردانندگان APT در حال ساختن حساب‌های “WADGUtilityAccount” و “elie” در سیستم‌های هک شده از ارگان‌های دولت‌های محلی هستند، تا از آنها برای جمع‌آوری اطلاعات شبکه آسیب‌دیده قربانیان استفاده کنند.
دو سازمان  FBI و CISA  در ماه آوریل نیز در مورد حملات گردانندگان APT  با سوءاستفاده از چندین آسیب‌پذیری در سرورهای Fortinet FortiOS، هشدار داده بودند.
آسیب‌پذیری‌هایی که به طور فعال گروه APT از آنها سوءاستفاده می‌کنند در زیر ذکر شده است:CVE-۲۰۱۸-۱۳۳۷۹CVE-۲۰۱۹-۵۵۹۱CVE-۲۰۲۰-۱۲۸۱۲کارشناسان توضیح داده‌اند که این گروه APT ممکن است از سرورهای در معرض خطر استفاده کنند تا بخش‌های مهم زیرساخت را برای اجرای حملات آینده هدف قرار دهند.

ابزارهای مورداستفاده
گروه APT از هفت ابزار زیر برای اجرای حملات خود استفاده کرده است: 
•    Mimikatz (سرقت نام های کاربری و رمزهای عبور)
•    MinerGate (استخراج رمزنگاری)
•    WinPEAS (افزایش دسترسی)
•    SharpWMI (ابزار مدیریت Windows)
•    فعال‌سازی BitLocker (رمزگذاری داده)
•    WinRAR (آرشیو)
•    FileZilla (انتقال فایل)

گردانندگان APT در هدف قراردادن تجهیزات Fortinet سابقه دارند
هدف هکرهای دولتی یاAPT ها در سال‌های گذشته سرورهای به روز نشده  Fortinet بوده است و حتی در نوامبر ۲۰۲۰ هکرها با سوءاستفاده از آسیب‌پذیری CVE-۲۰۱۸-۱۳۳۷۹ به بیش از ۵۰ هزار سرور Fortinet VPN زیرساخت‌های حیاتی مانند دولت‌ها و بانک‌ها، نفوذ کردند.

توصیه‌ها
راهکارهای سازمان‌های FBI و CISA برای کاهش اثرات حملات APT 

  •     نصب بی‌درنگ وصله‌های مربوط به CVE های -۱۳۳۷۹-۲۰۱۸ ، ۱۲۸۱۲-۲۰۲۰ و ۵۵۹۱-۲۰۱۹ 
  •     بازرسی همه domain contrellerها، سرورها، workstationها و دایرکتوری‌های فعال 
  •     برای انجام کارهای برنامه‌ریزی‌نشده، برنامه زمان‌بندی وظایف را بررسی کنید.
  •     بررسی مرتب گزارش‌های آنتی‌ویروس 
  •     به طور منظم از داده‌ها پشتیبان تهیه کنید.
  •     اجرای تقسیم‌بندی شبکه 
  •     آخرین به‌روزرسانی‌ها را نصب کنید.
  •     استفاده از احراز هویت چندعاملی 
  •     از استفاده مجدد از رمزهای عبور قدیمی خودداری و سعی کنید به طور مرتب رمزهای عبور خود را تغییر دهید.
  •     غیر فعال کردن پورت‌های استفاده نشده از راه دور / پروتکل ریموت دسکتاپ (RDP) 
  •     حساب‌های کاربری را با دسترسی‌های  Administrator  بازرسی کنید.
  •     ابزارهای آنتی‌ویروس را نصب و به طور مرتب به‌روز کنید.
  •     همیشه از یک شبکه خصوصی مجازی (VPN) استفاده کنید.
  •     غیر فعال کردن هایپر لینک‌ها در ایمیل‌های دریافتی 

کارشناسان امنیتی مرکز مدیریت راهبردی افتا به منظور جلوگیری از چنین حملات و پالایش سیستم‌ها و شبکه‌های به خطر افتاده، به راهبران سیستم‌های زیرساخت‌ها توصیه اکید می‌کنند که اقدامات پیشتر ذکر شده را، به جدیت دنبال کنند.

منبع:

https://gbhackers.com/hackers-exploited-fortinet-vulnerabilities/

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.

دسته‌ها
نوشته‌های تازه
آخرین دیدگاه‌ها