نهادهای دولتی و سازمانهای بزرگ با سوء استفاده از یک نقص امنیتی در نرمافزار Fortinet FortiOS برای از بین رفتن دادهها و خرابی سیستمعامل و فایلها، هدف یک عامل تهدید ناشناخته قرار گرفتهاند.
Guillaume Lovet و Alex Kong، محققین Fortinet هفته گذشته در مشاوره ای گفتند: «پیچیدگی این اکسپلویت حاکی از یک بازیگر پیشرفته است و این که به شدت اهداف دولتی یا مرتبط با دولت را هدف قرار داده است.
نقص روز صفر مورد بحث CVE-2022-41328 (امتیاز CVSS: 6.5) است، یک باگ پیمایش مسیر امنیتی متوسط در FortiOS که می تواند منجر به اجرای کد دلخواه شود.
این شرکت خاطرنشان کرد: “محدودیت نامناسب یک نام مسیر به آسیبپذیری فهرست محدود (“پیمایش مسیر”) [CWE-22] در FortiOS ممکن است به مهاجم ممتاز اجازه دهد تا فایلهای دلخواه را از طریق دستورات CLI ساخته شده بخواند و بنویسد.
این نقص بر نسخه های FortiOS 6.0، ۶٫۲، ۶٫۴٫۰ تا ۶٫۴٫۱۱، ۷٫۰٫۰ تا ۷٫۰٫۹ و ۷٫۲٫۰ تا ۷٫۲٫۳ تأثیر می گذارد. رفعها به ترتیب در نسخههای ۶٫۴٫۱۲، ۷٫۰٫۱۰ و ۷٫۲٫۴ موجود هستند.
این افشاگری چند روز پس از انتشار وصلههای Fortinet برای رفع ۱۵ نقص امنیتی، از جمله CVE-2022-41328 و یک مشکل حیاتی زیر جریان بافر مبتنی بر پشته که بر روی FortiOS و FortiProxy تأثیر گذاشت، منتشر شد (CVE-2023-25610، امتیاز CVSS: 9.3).
به گفته شرکت مستقر در Sunnyvale، این نقص امنیتی پس از آن آشکار شد که چندین دستگاه FortiGate متعلق به یک مشتری ناشناس از “قطع ناگهانی سیستم و در نتیجه خرابی بوت” رنج بردند، که نشان دهنده نقض یکپارچگی است.
تجزیه و تحلیل بیشتر از این حادثه نشان داد که عوامل تهدید تصویر سیستم عامل دستگاه را به گونه ای تغییر دادند که شامل یک بار جدید (“/bin/fgfm”) باشد، به طوری که همیشه قبل از شروع فرآیند راه اندازی راه اندازی می شود.
بدافزار /bin/fgfm برای برقراری ارتباط با یک سرور راه دور برای دانلود فایلها، استخراج دادهها از میزبان در معرض خطر و اعطای دسترسی به پوسته از راه دور طراحی شده است.
گفته می شود تغییرات اضافی وارد شده به سیستم عامل دسترسی و کنترل دائمی را برای مهاجم فراهم کرده است، حتی به غیرفعال کردن تأیید سیستم عامل در هنگام راه اندازی.
فورتی نت گفت که با شواهدی که به سازمان های دولتی یا وابسته به دولت اشاره دارد این حمله بسیار هدفمند بوده.
با توجه به پیچیدگی این اکسپلویت، گمان می رود که مهاجم “درکی عمیق از FortiOS و سخت افزار زیرین” داشته باشد و دارای قابلیت های پیشرفته ای برای مهندسی معکوس جنبه های مختلف سیستم عامل FortiOS باشد.
هنوز مشخص نیست که عامل تهدید با مجموعه نفوذ دیگری که در اوایل ژانویه سال جاری به نقصی در FortiOS SSL-VPN (CVE-2022-42475) برای استقرار ایمپلنت لینوکس تسلیح شده بود، ارتباطی دارد یا خیر.
