- بواسطة x32x01 ||
هجوم بيستخدم symlink بيخلّي FortiGate يفضل مخترق حتى بعد التحديث - إيه اللي حصل وإيه اللي تعمل؟ 
في خبر مهم لكل اللي بيشتغلوا بـ FortiGate - Fortinet أعلنوا عن هجوم جديد بيسمح للمهاجمين يحتفظوا بـ وصول read-only على الأجهزة حتى بعد ما الثغرات الأصلية اتقفلت. الهجوم بيعتمد على إنشاء symbolic link (symlink) جوه مجلد بتستخدمه خدمة SSL-VPN علشان يخفي وصوله ويخليه شغال بعد الباتش.الثغرات المُستَخدمة وإزاي الهجوم بيشتغل 
المهاجمين استغلّوا ثغرات قديمة معروفة - وFortinet ذكرت أمثلة زي: CVE-2022-42475, CVE-2023-27997, وCVE-2024-21762 - بعد ما دخلوا عن طريق واحدة من الثغرات دي، عملوا ملف symlink بيربط بين user filesystem وroot filesystem داخل مجلد ملفات اللغة (language files) الخاص بـ SSL-VPN، فبالتالي لما الواجهة بتاعة VPN تقرأ ملف لغة ممكن تكون في الحقيقة بتقرا ملف حساس في النظام. النتيجة: المهاجم يقدر يقرأ ملفات مهمة (زي الإعدادات) من غير صلاحيات تنفيذ أو كشف واضح.نقطة مهمة: الهجوم ده بيشتغل بس لو عندك SSL-VPN مفعّل على الجهاز - لو مش مفعّل، جهازك غالبًا مش متأثر.
قد إيه المشكلة كبيرة؟ 
التقارير الإعلامية والتحليلات بتقول إن الهجوم أصاب آلاف الأجهزة - تقارير ذكرت أعداد كبيرة (أمثال >14,000 جهاز في بعض التحليلات) وإن Fortinet بعتت تحذيرات مباشرة للعملاء المتأثرين. ده يوضح إن الموضوع مش محدود ومحتاج إجراءات سريعة.إيه اللي عملته Fortinet عشان تسد الثغرة؟ 
Fortinet مش بس طلعت باتشات لإصلاح الثغرات الأصلية، لكن كمان طبقت إجراءات خاصة لإزالة الـ symlink الخبيث وكتم المنبع اللي بيخلي الهجوم يستمر:- طوّرت signatures للـ AV/IPS عشان تقدر تكشف وتحذف الـ symlink الضار.
- أصدرت تحديثات FortiOS بتكشف وتزيل الـ symlink لو كان موجود.
- عدّلت واجهة SSL-VPN عشان تبقى بتخدم بس الملفات المتوقعة من المجلد (وبالتالي تمنع ملفات خارجة عن المسموح بيها).
- تواصلت مع عملاء محددين بشكل استباقي لمساعدتهم في الاستجابة.
الإصدارات اللي ذكرت التقارير إنها بتشيل الـ symlink وتضمّن إصلاحات استباقية تشمل (مثال للأرقام اللي نصحوا بالترقية ليها): 6.4.16, 7.0.17, 7.2.11, 7.4.7, 7.6.2. لو جهازك أقدم، لازم تحدث فورًا.
خطوات فورية لازم تعملها (خريطة عمل سريعة) 
ملاحظة: خلي دايمًا عندك نسخة احتياطية من الكونفيج وسجلات النظام قبل أي تعديل.- افحص النسخة الحالية فورًا
- اتأكد من نسخة FortiOS:
get system status
الأمر ده يطلعلك إصدار الفيرموير والـ build - لو الإصدار أقل من الأرقام أعلاه، خطّط للترقية فورًا.
- اتأكد من نسخة FortiOS:
- حدّث FortiOS للنسخة الموصى بها
- سارع للترقية للنسخة المناسبة (7.6.2 أو 7.4.7 أو 7.2.11 أو 7.0.17 أو 6.4.16 حسب سلسلة جهازك). التحديثات دي بتشيل الـ symlink الضار وتصلّح واجهات SSL-VPN.
- حدّث تعريفات FortiGuard وAV/IPS signatures
- نفّذ تحديث FortiGuard/IPS يدوياً لو لزم:
Code:
execute update-now
diagnose autoupdate versions- بعد ما تحدّث السِجِشنز، الـ AV/IPS المحدّث يقدر يكشف ويحذف symlink الضار على الأجهزة المصابة.
- ابحث عن وجود symlink يدويًا
- Fortinet طوّرت أدوات داخلية/تواقيع تكشف الـ symlink؛ اتبع إرشادات Fortinet أو اطلب من الدعم الرسمي خطوات الكشف اليدوي لو احتجت. (لو مش متمكن من الفحص اليدوي، اطلب دعم Fortinet أو البائع).
- عامِل الكونفيج كأنه مُخترَق
- افترض إن الكونفيج اتطلع لجهة ثالثة: غيّر كل كلمات المرور الإدارية، دور الـ API keys، ومفاتيح الـ VPN. فعّل المصادقة الثنائية (2FA) لو متاحة. Hollow أو إعادة إنشاء المستخدمين الإداريين بعد التحقق. (Fortinet نصحت بالمقاربة الاحترازية دي في توصياتها).
- راجع اللوجز وراقب السلوك
- راجع سجلات الـ VPN، سجلات الوصول، وأي نشاط غريب على النظام. استخدم diagnose وlog commands أو FortiAnalyzer إذا موجود. راجع محاولات الوصول والـ sessions الغريبة.
- عزل الجهاز لو مشتبه فيه
- لو لقيت أثر واضح للاختراق (symlink موجود أو سلوك غريب)، عزل الجهاز من الشبكة، وصل الدعم الفني فورًا وفكر في استعادة من نسخة سليمة أو إعادة ضبط المصنع بعد أخذ نسخ من الـ logs.
لو لقيت إن جهازك مُصاب - هل تكفي الترقية؟ 
الترقية للنسخ اللي بتزيل الـ symlink بتصلح المشكلة وتُزيل الـ symlink في معظم الحالات، لكن Fortinet نصحت إن العملاء يتعاملوا باحتراز: لازم يتحققوا إن التوقيعات حذفت الملفات الضارة، ويبدّلوا كلمات المرور، ويراجعوا الكونفيج. في حالات، الشركات فضّلت إعادة إنشاء الكونفيج أو استعاضة الأجهزة المتأثرة لو كانت جزء من بنية حرجة.نصايح وقائية عشان متتحطش في موقف مشابه تاني 
- فعّل التحديث التلقائي لتعريفات FortiGuard وخلي الـ AV/IPS مفعّل.
- قلل سطح الهجوم: لو مش محتاج SSL-VPN، طفيه. أو حط عليه قيود IP/Acl.
- مراجعة دورية للـ configs واحتفظ بنسخ مشفرة خارجية.
- تفعيل مراقبة متقدمة (SIEM/FortiAnalyzer) لالتقاط أي سلوك شاذ بدري.
- تدريب الفريق والـ runbook للتعامل مع الحوادث بسرعة.
التعديل الأخير: