تتعلم المنظمات في جميع أنحاء العالم مرة أخرى مخاطر عدم تثبيت التحديثات الأمنية حيث يتسابق العديد من الجهات الفاعلة في التهديد لاستغلال ثغرتين تم تصحيحهما مؤخرًا مما يسمح لهم بإصابة بعض الأجزاء الأكثر أهمية في الشبكة المحمية.
تحمل كل من الثغرات الأمنية تصنيفات شدة تبلغ 9.8 من أصل 10 ممكن وتوجد في منتجين غير مرتبطين مهمين في تأمين الشبكات الكبيرة. الأول ، الذي تم تتبعه باعتباره CVE-2022-47966 ، هو ثغرة أمنية لتنفيذ التعليمات البرمجية المصادقة المسبقة عن بُعد في 24 منتجًا منفصلاً من شركة Zoho التي تستخدم محرك ManageEngine الخاص بالشركة. تم ترقيعه في موجات من أكتوبر الماضي حتى نوفمبر. الثغرة الثانية ، CVE-2022-39952 ، تؤثر على منتج يسمى FortiNAC ، صنعته شركة الأمن السيبراني Fortinet وتم تصحيحه الأسبوع الماضي.
يتم وصف كل من ManageEngine و FortiNAC على أنهما منتجان بدون ثقة ، مما يعني أنهما يعملان على افتراض أن الشبكة قد تم اختراقها وتراقب الأجهزة باستمرار للتأكد من أنها ليست مصابة أو تتصرف بشكل ضار. لا تثق المنتجات ذات الثقة الصفرية في أي أجهزة أو عقد شبكة على الشبكة وتعمل بدلاً من ذلك بنشاط للتحقق من أنها آمنة.
تأثرت 24 من منتجات Zoho
ManageEngine هو المحرك الذي يشغل مجموعة كبيرة من برامج وأجهزة إدارة الشبكة من Zoho التي تؤدي وظائف أساسية. يساعد AD Manager Plus ، على سبيل المثال ، المسؤولين في إعداد الدليل النشط وصيانته ، وخدمة Windows لإنشاء وحذف جميع حسابات المستخدمين على الشبكة وتفويض امتيازات النظام لكل منها. يوفر برنامج Password Manager Pro قبوًا رقميًا مركزيًا لتخزين جميع بيانات كلمات مرور الشبكة. تقوم المنتجات الأخرى التي تم تمكينها بواسطة ManageEngine بإدارة أجهزة سطح المكتب والأجهزة المحمولة والخوادم والتطبيقات ومكاتب الخدمة.
يسمح CVE-2022-47966 للمهاجمين بتنفيذ تعليمات برمجية ضارة عن بُعد عن طريق إصدار طلب HTTP POST قياسي يحتوي على استجابة مصممة خصيصًا باستخدام لغة ترميز تأكيد الأمان. (SAML ، كما هو مختصر ، هو موفرو هوية اللغة المفتوحة القياسية وموفرو الخدمات الذين يستخدمونها لتبادل بيانات المصادقة والتفويض.) تنبع الثغرة الأمنية من استخدام Zoho لإصدار قديم من Apache Santuario للتحقق من صحة توقيع XML.
في كانون الثاني (يناير) ، بعد شهرين تقريبًا من تصحيح Zoho لثغرة ManageEngine ، نشرت شركة الأمان Horizon3.ai تحليلًا عميقًا تضمن رمز استغلال لإثبات صحة المفهوم. في غضون يوم واحد ، بدأت شركات الأمن مثل Bitdefender في رؤية مجموعة من الهجمات النشطة من جهات تهديد متعددة تستهدف المنظمات في جميع أنحاء العالم التي لم تقم بعد بتثبيت التحديث الأمني.
استغلت بعض الهجمات الثغرة الأمنية لتثبيت أدوات مثل سطر الأوامر Netcat ومن هناك برنامج Anydesk لتسجيل الدخول عن بُعد. عند نجاحها ، تبيع الجهات الفاعلة في التهديد الوصول الأولي إلى مجموعات التهديد الأخرى. استغلت مجموعات الهجوم الأخرى الثغرة الأمنية لتثبيت برامج الفدية المعروفة باسم Buhti وأدوات ما بعد الاستغلال مثل Cobalt Strike و RAT-el والبرامج الضارة المستخدمة في التجسس.
كتب باحثو Bitdefender: “هذه الثغرة هي تذكير واضح آخر بأهمية الحفاظ على تحديث الأنظمة بأحدث تصحيحات الأمان مع استخدام دفاع قوي حول المحيط”. “لا يحتاج المهاجمون إلى البحث عن مآثر جديدة أو تقنيات جديدة عندما يعلمون أن العديد من المؤسسات معرضة لخطر الثغرات القديمة ، ويرجع ذلك جزئيًا إلى الافتقار إلى إدارة التصحيح المناسبة وإدارة المخاطر.”
لم يرد ممثلو Zoho على رسالة بريد إلكتروني تطلب تعليقًا على هذا المنشور.
FortiNAC تتعرض لهجوم “واسع النطاق”
وفي الوقت نفسه ، يوجد CVE-2022-39952 في FortiNAC ، وهو حل للتحكم في الوصول إلى الشبكة يحدد ويراقب كل جهاز متصل بشبكة. تستخدم المؤسسات الكبيرة FortiNAC لحماية شبكات التكنولوجيا التشغيلية في أنظمة التحكم الصناعية وأجهزة تكنولوجيا المعلومات وأجهزة إنترنت الأشياء. تسمح فئة الثغرات الأمنية ، المعروفة باسم عنصر التحكم الخارجي في اسم الملف أو المسار ، للمهاجمين غير المصادق عليهم بكتابة ملفات عشوائية إلى النظام ، ومن هناك ، الحصول على تنفيذ التعليمات البرمجية عن بُعد الذي يتم تشغيله بامتيازات جذر غير مقيدة.
قامت Fortinet بتصحيح الثغرة الأمنية في 16 فبراير وفي غضون أيام ، أفاد باحثون من منظمات متعددة أنها كانت تحت استغلال نشط. جاءت التحذيرات من المنظمات أو الشركات ، بما في ذلك الظلالو Cronup و Greynoise. مرة أخرى ، قدمت Horizon3.ai الغوص العميق الذي حلل سبب الضعف وكيف يمكن تسليحها.
كتب باحثون من Cronup: “لقد بدأنا في الكشف عن التثبيت الضخم لـ Webshells (الأبواب الخلفية) للوصول لاحقًا إلى الأجهزة المخترقة”.
يتم استغلال الثغرة الأمنية من قبل جهات تهديدات متعددة على ما يبدو في محاولات لتثبيت قذائف ويب مختلفة ، والتي توفر للمهاجمين نافذة نصية يمكنهم من خلالها إصدار الأوامر عن بُعد.
لم يرد ممثلو Fortinet على رسالة بريد إلكتروني تطلب التعليق.
في السنوات الأخيرة ، تعرضت العديد من منتجات Fortinet للاستغلال النشط. في عام 2021 ، تم استهداف ثلاثة من نقاط الضعف في FortiOS VPN من Fortinet – اثنان تم تصحيحهما في 2019 وواحد بعد عام – من قبل المهاجمين الذين حاولوا الوصول إلى العديد من الخدمات الحكومية والتجارية والتقنية. في كانون الأول (ديسمبر) الماضي ، استغل أحد الفاعلين المجهولين ثغرة أمنية مختلفة في FortiOS SSL-VPN لإصابة المنظمات الحكومية والحكومية ببرامج ضارة متقدمة مصممة خصيصًا. قامت Fortinet بإصلاح الثغرة الأمنية بهدوء في أواخر نوفمبر لكنها لم تكشف عنها إلا بعد بدء الهجمات في البرية. لا يزال يتعين على الشركة أن تشرح سبب أو توضح ما هي سياستها للكشف عن نقاط الضعف في منتجاتها.
تُظهر الهجمات في السنوات الأخيرة أن المنتجات الأمنية المصممة لإبعاد المهاجمين عن الشبكات المحمية يمكن أن تكون سيفًا ذا حدين يمكن أن يكون خطيرًا بشكل خاص عندما تفشل الشركات في الكشف عنها أو ، في الآونة الأخيرة ، يفشل العملاء في تثبيت التحديثات. يجب على أي شخص يدير أو يشرف على الشبكات التي تستخدم إما ManageEngine أو FortiNAC التحقق فورًا لمعرفة ما إذا كانت عرضة للخطر. توفر المنشورات البحثية المرتبطة أعلاه ثروة من المؤشرات التي يمكن للأشخاص استخدامها لتحديد ما إذا كان قد تم استهدافهم.
