مهاجمان از راه یک آسیبپذیری در FortiGate VPN server به توزیع باجافزار Cring را بر روی دستگاههای قربانی میپردازند.
منبع : مرکز مدیریت راهبردی افتا
مهاجمان از راه یک آسیبپذیری در FortiGate VPN server به توزیع باجافزار Cring را بر روی دستگاههای قربانی میپردازند.
گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان با هدف قرار دادن یک آسیبپذیری در FortiGate VPN server به شبکه قربانیان، رخنه و باجافزار Cring را بر روی دستگاهها توزیع میکنند. آسیبپذیری سوءاستفادهشده توسط این مهاجمان، CVE-۲۰۱۸-۱۳۳۷۹ گزارش شده است.
بهتازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیبپذیری شامل CVE-۲۰۱۸-۱۳۳۷۹ در محصولات Fortinet خبر داده بودند که جزییات آن در لینک زیر قابل مطالعه است: https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۲۳۳/ CVE-۲۰۱۸-۱۳۳۷۹ ضعفی از نوع Path Traversal است که بخش Web Portal در FortiOS SSL VPN از آن متأثر میشود. سوءاستفاده از این آسیبپذیری، امکان خواندن فایلهای سیستمی ازجمله نامهای کاربری و رمزهای عبوری فایل نشستها (Session) بهصورت متن ساده (Plain Text) را برای مهاجم بدون نیاز به اصالتسنجی فراهم میکند.
اگر چه اصلاحیه CVE-۲۰۱۸-۱۳۳۷۹ در می ۲۰۱۹ عرضه شد اما در نوامبر ۲۰۲۰ شرکت سازنده اعلام کرد که سهم قابلتوجهی از سختافزارهای Fortinet به دلیل عدم اعمال اصلاحیه مربوطه توسط راهبران آنها همچنان آسیبپذیر باقی ماندهاند و حتی نشانی IP برخی از آنها تبهکاران سایبری به فروش میرسد. بر اساس گزارش کسپرسکی در حملات اخیر بهمحض فراهم شدن دسترسی، مهاجمان از ابزار Mimikatz برای استخراج اطلاعات اصالتسنجی حساب کاربرانی که پیشتر به دستگاه آلوده وارد شده بودند استفاده کرده و در صورت دستیابی به یک حساب کاربری Domain Administrator دامنه نفوذ خود را در سطح شبکه افزایش میدهند. درنهایت نیز با بهکارگیری Cobalt Strike باجافزار Cring را بر روی هر ماشین توزیع میکنند.
در جریان این حملات فایلهای با هریک از پسوندهای زیر توسط باجافزار رمزگذاری میشود: .vhdx (Virtual Hard Disk), .ndf (Microsoft SQL Server secondary database), .wk (Lotus ۱-۲-۳ spreadsheet), .xlsx (Microsoft Excel spreadsheet), .txt (text document), .doc (Microsoft Word document), .docx (Microsoft Word document), .xls (Microsoft Excel spreadsheet), .mdb (Microsoft Access database), .mdf (disk image), .sql (saved SQL query), .bak (backup file), .ora (Oracle database), .pdf (PDF document), .ppt (Microsoft PowerPoint presentation), .pptx (Microsoft PowerPoint presentation), .dbf (dBASE database management file), .zip (archive), .rar (archive), .aspx (ASP.NET webpage), .php (PHP webpage), .jsp (Java webpage), .bkf (backup created by Microsoft Windows Backup Utility), .csv (Microsoft Excel spreadsheet)
مشروح گزارش کسپرسکی در لینک زیر قابل دریافت است: https://ics-cert.kaspersky.com/reports/۲۰۲۱/۰۴/۰۷/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/