🧑‍💻Cyber.vision🧑‍💻

#هشدار

بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایل‌های حساس را می‌دهد در معرض خطر قرار گرفته‌اند.

این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایل‌ها در سیستم ریشه دستگاه‌های FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.

طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.

مهاجمان پس از دسترسی به دستگاه‌ها، پیوندهای نمادینی را در پوشه فایل‌های زبان به سیستم فایل ریشه دستگاه‌های دارای SSL-VPN فعال ایجاد کردند.

از آنجایی که فایل‌های زبان در دستگاه‌های FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم می‌تواند به این پوشه رفته و حتی پس از رفع آسیب‌پذیری‌های اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.

Fortinet همچنین شروع به اطلاع‌رسانی خصوصی به مشتریان از طریق ایمیل از دستگاه‌های فورتی‌گیت کرده است که توسط FortiGuard شناسایی شده‌اند که توسط این درب پشتی symlink در معرض خطر قرار گرفته‌اند.

Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.

آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.

در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایل‌های پیکربندی، از جمله اعتبارنامه‌ها دسترسی داشته باشند.

بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity

@Hacker0x01vo

Fortinet Blog

Analysis of Threat Actor Activity

Fortinet diligently balances our commitment to the security of our customers and our culture of responsible transparency and commits to sharing information with that goal in mind. While efforts by …

www.tgoop.com/pythonwithmedev/465

67 viewsApr 18 at 12:35

#هشدار

بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایل‌های حساس را می‌دهد در معرض خطر قرار گرفته‌اند.

این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایل‌ها در سیستم ریشه دستگاه‌های FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.

طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.

مهاجمان پس از دسترسی به دستگاه‌ها، پیوندهای نمادینی را در پوشه فایل‌های زبان به سیستم فایل ریشه دستگاه‌های دارای SSL-VPN فعال ایجاد کردند.

از آنجایی که فایل‌های زبان در دستگاه‌های FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم می‌تواند به این پوشه رفته و حتی پس از رفع آسیب‌پذیری‌های اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.

Fortinet همچنین شروع به اطلاع‌رسانی خصوصی به مشتریان از طریق ایمیل از دستگاه‌های فورتی‌گیت کرده است که توسط FortiGuard شناسایی شده‌اند که توسط این درب پشتی symlink در معرض خطر قرار گرفته‌اند.

Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.

آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.

در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایل‌های پیکربندی، از جمله اعتبارنامه‌ها دسترسی داشته باشند.

بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity

@Hacker0x01vo

BY 🧑‍💻Cyber.vision🧑‍💻