هفته گذشته شرکت Fortinet، یکی از غول‌های امنیت سایبری و تولیدکننده محصولات فایروال، اعلام کرد که هکرها موفق شده‌اند دسترسی (read-only)  به فایل‌های حساس دستگاه‌ها را حتی پس از بروزرسانی سیستم حفظ کنند.

🔒 در حال حاضر بیش از ۱۴ هزار دستگاه Fortinet در سراسر جهان همچنان تحت کنترل هکرها هستند! اسکن‌های عمومی بنیاد Shadowserver فاش کرده‌اند که مهاجمان سایبری سال‌هاست در دستگاه‌های آلوده Fortinet کمین کرده‌اند و حتی پس از نصب وصله‌های امنیتی، به اطلاعات حساس دسترسی دارند.

🔍 آسیب‌پذیری در SSL-VPN

این آسیب‌پذیری‌ها دستگاه‌هایی را شامل می‌شود که از قابلیت SSL-VPN در FortiOS استفاده می‌کنند و در حملات قبلی از سال ۲۰۲۳ به بعد در معرض خطر قرار گرفته‌اند. مهاجمان با استفاده از لینک‌های نمادین (symbolic links) در فایل‌سیستم، راهی پنهان برای دسترسی به فایل‌های حیاتی مانند پیکربندی‌ها، کلیدها و اعتبارنامه‌ها باز کرده‌اند؛ حتی اگر سیستم بعدها بروزرسانی شده باشد.

🌍 کدام کشورها بیشتر در معرض خطرند؟

بنا بر آمار منتشرشده توسط Shadowserver ایالات متحده با دارا بودن حدود ۱۵۰۰ دستگاه آلوده، ژاپن و تایوان با دارا بودن هرکدام ۶۰۰ دستگاه، چین و فرانسه ۵۰۰ دستگاه و همچنین صدها دستگاه آلوده در کشورهایی مانند ترکیه، اسرائیل، ایتالیا، کانادا، هند، اسپانیا، مالزی، تایلند و ... شناسایی شده و در معرض خطر می باشند.

🚨 هشدارهای بین‌المللی

سازمان امنیت سایبری ایالات متحده (CISA) تاکید کرده که:

• دستگاه‌ها باید فوراً به نسخه‌های جدید FortiOS ارتقاء یابند.
• اعتبارنامه‌ها و پیکربندی‌ها بازبینی و در صورت لزوم بازنشانی شوند.
• در صورت عدم امکان بروزرسانی فوری، قابلیت SSL-VPN غیرفعال شود.

هم چنین مرکز ملی امنیت سایبری نیوزلند هشدار دادهاست که با تمام پیکربندی‌ها مانند اطلاعات درزکرده رفتار کنید.

حتما بخوانید: چشم‌انداز جهانی امنیت سایبری 2025 + راهکارها برای امنیت سایبری ایران در 1404

⚠️ آسیب‌پذیری جدید با نمره ۹.۸ از ۱۰!

افزون بر این، آسیب‌پذیری بحرانی جدیدی با شناسه CVE-2024-55591 در تاریخ ۱۴ ژانویه ۲۰۲۵ افشا و patchشده است. با این حال، بیش از ۳۰ هزار دستگاه Fortinet هنوز به‌روز نشده‌اند و در معرض خطر بهره‌برداری قرار دارند.

🧠 چطور این اتفاق افتاده است؟

هکرها با سوءاستفاده از آسیب‌پذیری‌های قبلی از جمله: CVE-2024-21762 ، CVE-2023-27997 و CVE-2022-42475 موفق شده‌اند فایل‌های مخرب را در پوشه‌های زبان SSL-VPN قرار دهند که به‌طور مستقیم به فایل‌سیستم اصلی متصل می‌شوند. این روش حتی پس از نصب بروزرسانی‌ها، در سیستم باقی مانده و راه نفوذ را باز نگه می‌دارد.

🛡 توصیه به تمامی کاربران:

Fortinet به‌همراه نهادهای امنیتی جهانی هشدار داده‌اند که سازمان‌ها باید هر چه سریع‌تر سیستم‌های خود را بررسی، پاک‌سازی و بروزرسانی کنند. دسترسی ادامه‌دار مهاجمان به دستگاه‌های آلوده، تهدیدی جدی برای داده‌های حساس است.

✅ پیشنهاد ما به شرکت‌های ایرانی: امنیت را جدی بگیرید!

در شرایطی که حملات سایبری هر روز پیچیده‌تر شده و حتی تجهیزات امنیتی برتر بین‌المللی نیز در امان نیستند، لازم است شرکت‌های ایرانی اقدامات پیشگیرانه و حرفه‌ای‌تری را اتخاذ نمایند.

🔐 ۵ توصیه کلیدی برای سازمان‌ها و نهادهای ایرانی:

بررسی فوری تجهیزات Fortinet :

اگر در زیرساخت خود از دستگاه‌های FortiGate یا محصولات FortiOS با قابلیت SSL-VPN استفاده می‌کنید، بلافاصله وضعیت امنیتی دستگاه را بررسی و آخرین وصله‌ها را نصب کنید.

غیرفعال‌سازی موقت SSL-VPN (در صورت امکان):

تا زمان بررسی کامل و اطمینان از پاک‌سازی سیستم، پیشنهاد می‌شود قابلیت SSL-VPN موقتاً غیرفعال شود تا مسیر نفوذ مهاجمان قطع گردد.

بازبینی کامل پیکربندی و رمزهای عبور:

تمام پیکربندی‌های سیستم و نام‌های کاربری و رمزهای عبور باید به‌عنوان داده‌های احتمالی فاش‌شده در نظر گرفته شوند و ترجیحاً بازنشانی شوند.

استفاده از مانیتورینگ و :SIEM

پیاده‌سازی سیستم‌های مانیتورینگ حرفه‌ای می‌تواند فعالیت‌های مشکوک را شناسایی کرده و از تداوم نفوذ جلوگیری کند.

آموزش و آگاه‌سازی تیم فناوری اطلاعات:

تیم‌های فنی باید با تکنیک‌های نفوذ جدید و روش‌های مقابله با حملات post-exploitation آشنا شوند.

جهت دریافت بروزترین اخبار در حوزه ی امنیت شبکه سلام دیجی را دنبال کنید.