در حالی که حملات سایبری به زیرساخت‌های سازمانی به‌شدت افزایش یافته، بنیاد امنیتی Shadowserver در جدیدترین گزارش خود از شناسایی ۱۶,۶۲۰ دستگاه Fortinet آلوده به بک‌دور symlink خبر داد. این آسیب‌پذیری که به مهاجمان امکان دسترسی Read-only به فایل‌های حساس حتی پس از patch شدن سیستم را می‌دهد، تهدیدی جدی برای حریم اطلاعاتی محسوب می‌شود.

📊 پراکندگی جغرافیایی دستگاه‌های آلوده:

این آلودگی‌ها در بسیاری از موارد، نتیجه‌ی بهره‌برداری مهاجمان از آسیب‌پذیری‌های قدیمی است که با وجود نصب وصله امنیتی، ردپای آن‌ها همچنان در سیستم باقی مانده است.

🧬 جزئیات فنی تهدید:

مهاجمان با ایجاد یک symbolic link (symlink) میان فایل‌سیستم کاربر و ریشه سیستم‌عامل، حتی پس از بروزرسانی سیستم، توانسته‌اند به بخش‌هایی از فایل‌سیستم شامل پیکربندی‌ها، کلیدها و اطلاعات احراز هویت دسترسی داشته باشند. این تکنیک زیرکانه باعث می‌شود که فایل‌های مخرب از چشم اکثر سیستم‌های مانیتورینگ امنیتی پنهان بمانند.

❌ پایان پشتیبانی از SD-WAN در برخی مدل‌ها توسط Fortinet

در میان این تهدیدات، Fortinet تصمیم به حذف پشتیبانی از SD-WAN در مدل‌های خاصی از FortiGate گرفته است. طبق اسناد رسمی Fortinet، این ویژگی در نسخه‌هایی از FortiOS مانند 6.0.6 و 6.2.4 برای مدل‌های FortiGate-6000 و FortiGate-7000 دیگر در دسترس نخواهد بود.

✅ پیشنهادهای کلیدی ما به سازمان‌ها:

🔐 بررسی سریع دستگاه‌های Fortinet برای تشخیص نشانه‌های آلودگی
🧩 بروزرسانی فوری FortiOS به نسخه‌های جدید و امن
🔁 تغییر رمزهای عبور و بازبینی پیکربندی‌ها
🧯 غیرفعال‌سازی موقت SSL-VPN تا زمان ایمن‌سازی کامل
🚧 ارزیابی ادامه‌ی استفاده از SD-WAN در مدل‌های تحت تاثیر

اگر شما هم از FortiGate یا محصولات Fortinet استفاده می‌کنید، همین حالا زمان مناسبی برای اقدام پیشگیرانه و بررسی کامل دستگاه‌هایتان است.

📎 برای مطالعه‌ی تحلیل کامل و مقاله‌ی اولیه درباره‌ی این تهدید، سلام دیجی را دنبال کنید.