فورتينت
قالت الشركة في تقرير تشريح الجثة يوم الأربعاء إن جهة تهديد غير معروفة أساءت استغلال ثغرة أمنية خطيرة في FortiOS SSL-VPN لإصابة المنظمات الحكومية والحكومية ببرامج ضارة متقدمة مخصصة حسب الطلب.
تم تتبع الثغرة الأمنية باعتبارها CVE-2022-42475 ، وهي عبارة عن فائض في المخزن المؤقت المستند إلى كومة يسمح للمتسللين بتنفيذ تعليمات برمجية ضارة عن بُعد. يحمل تصنيف خطورة يبلغ 9.8 من أصل 10. مُصنِّع لبرامج أمان الشبكة ، Fortinet قام بإصلاح الثغرة الأمنية في الإصدار 7.2.3 الذي تم إصداره في 28 نوفمبر ولكنه فشل في ذكر أي تهديد في ملاحظات الإصدار التي نشرتها في الوقت.
أمي هي الكلمة
لم تكشف Fortinet عن الثغرة الأمنية حتى 12 ديسمبر ، عندما حذرت من أن الثغرة كانت قيد الاستغلال النشط ضد واحد على الأقل من عملائها. وحثت الشركة العملاء على التأكد من تشغيلهم للنسخة المصححة من البرنامج والبحث في شبكاتهم عن علامات استغلال الثغرة الأمنية على شبكاتهم. تُستخدم FortiOS SSL-VPNs بشكل أساسي في جدران الحماية الحدودية ، والتي تطوق الشبكات الداخلية الحساسة من الإنترنت العام.
يوم الأربعاء ، قدمت Fortinet وصفًا أكثر تفصيلاً لنشاط استغلال الثغرات والجهة المهددة التي تقف وراءه. ومع ذلك ، لم يقدم المنشور أي تفسير للفشل في الكشف عن الثغرة الأمنية عندما تم إصلاحه في نوفمبر. رفض متحدث باسم الشركة الإجابة على الأسئلة المرسلة عبر البريد الإلكتروني حول الفشل أو ما هي سياسة الشركة للكشف عن نقاط الضعف.
وكتب مسؤولو Fortinet في تحديث يوم الأربعاء: “يشير تعقيد الاستغلال إلى جهة فاعلة متقدمة وأنه يستهدف بشكل كبير أهدافًا حكومية أو ذات صلة بالحكومة”. تابعوا:
- يتطلب الاستغلال فهماً عميقاً لـ FortiOS والأجهزة الأساسية.
- يُظهر استخدام الغرسات المخصصة أن الممثل لديه قدرات متقدمة ، بما في ذلك الهندسة العكسية لأجزاء مختلفة من FortiOS.
- الفاعل مستهدف للغاية ، مع بعض التلميحات لأهداف حكومية أو حكومية مفضلة.
- يُنسب Windows المكتشف عينة إلى المهاجم التي عرضت القطع الأثرية التي تم تجميعها على جهاز في المنطقة الزمنية UTC + 8 ، والتي تشمل أستراليا والصين وروسيا وسنغافورة ودول شرق آسيا الأخرى.
- تم إنشاء جميع الشهادات الموقعة ذاتيًا التي أنشأها المهاجمون بين الساعة 3 و 8 صباحًا بالتوقيت العالمي المنسق. ومع ذلك ، من الصعب استخلاص أي استنتاجات من هذا المعين لا يعمل المتسللون بالضرورة خلال ساعات العمل وسيعملون غالبًا خلال ساعات عمل الضحية للمساعدة في التعتيم على نشاطهم مع حركة المرور العامة للشبكة.
أظهر تحليل أجرته Fortinet على أحد الخوادم المصابة أن المهاجم استخدم الثغرة الأمنية لتثبيت متغير من غرسة معروفة تعتمد على Linux والتي تم تخصيصها للتشغيل على FortiOS. للبقاء غير مكتشفة ، عطلت البرامج الضارة بعد الاستغلال أحداث تسجيل معينة بمجرد تثبيتها. تم تثبيت الغرسة في مسار /data/lib/libips.bak. قد يكون الملف متنكرًا كجزء من محرك IPS الخاص بـ Fortinet ، والموجود في /data/lib/libips.so. كان الملف /data/lib/libips.so موجودًا أيضًا ولكن حجم الملف به صفر.
بعد محاكاة تنفيذ الغرسة ، اكتشف باحثو Fortinet سلسلة فريدة من البايتات في اتصالها بخوادم القيادة والتحكم التي يمكن استخدامها للتوقيع في أنظمة منع التطفل. سيظهر المخزن المؤقت “\ x00 \ x0C \ x08http / 1.1 \ x02h2 \ x00 \ x00 \ x00 \ x14 \ x00 \ x12 \ x00 \ x00 \ x0Fwww.example.com” (بدون إلغاء) داخل حزمة “Client Hello”.
تشمل العلامات الأخرى التي تم استهداف الخادم بها اتصالات بمجموعة متنوعة من عناوين IP ، بما في ذلك 103[.]131[.]189[.]143 ، وجلسات TCP التالية:
- التوصيلات بـ FortiGate على المنفذ 443
- احصل على طلب / remote / login / lang = ar
- طلب نشر عن بعد / خطأ
- الحصول على طلب الحمولات
- اتصال لتنفيذ الأمر على FortiGate
- جلسة صدفة تفاعلية.
يتضمن تشريح الجثة مجموعة متنوعة من مؤشرات التسوية الأخرى. يجب على المنظمات التي تستخدم FortiOS SSL-VPN قراءتها بعناية وفحص شبكاتها بحثًا عن أي علامات تم استهدافها أو إصابتها.
كما ذكرنا سابقًا ، فشل تشريح الجثة في توضيح سبب عدم كشف Fortinet عن CVE-2022-42475 إلا بعد تعرضها للاستغلال النشط. والفشل حاد بشكل خاص بالنظر إلى شدة الضعف. يُعد الإفصاح أمرًا بالغ الأهمية لأنه يساعد المستخدمين في تحديد أولويات تثبيت التصحيحات. عندما يصلح إصدار جديد بعض الأخطاء الطفيفة ، غالبًا ما تنتظر العديد من المؤسسات لتثبيته. عندما يصلح ثغرة أمنية ذات تصنيف خطورة 9.8 ، فمن المرجح أن يقوم بتسريع عملية التحديث.
بدلاً من الإجابة على الأسئلة حول عدم الكشف ، قدم مسؤولو Fortinet البيان التالي:
نحن ملتزمون بأمن عملائنا. في كانون الأول (ديسمبر) 2022 ، وزعت Fortinet استشاري PSIRT (FG-IR-22-398) الذي يفصل إرشادات التخفيف ويوصي بالخطوات التالية بشأن CVE-2022-42475. أبلغنا العملاء عبر عملية PSIRT الاستشارية ونصحهم باتباع الإرشادات المقدمة ، وكجزء من التزامنا المستمر بأمن عملائنا ، نواصل مراقبة الموقف. اليوم ، شاركنا بحثًا إضافيًا موسعًا بخصوص CVE-2022-42475. لمزيد من المعلومات ، يرجى زيارة المدونة.
وقالت الشركة إن الحمولات الخبيثة الإضافية المستخدمة في الهجمات لا يمكن استعادتها.
