- بواسطة x32x01 ||
هجوم مستمر على أجهزة FortiGate رغم إن الثغرات القديمة اتقفلت !!!
أعلنت شركة Fortinet عن هجوم جديد بيستمر حتى بعد سد الثغرات. الهجوم بيتم باستخدام أي من الثغرات دي:
CVE-2022-42475
CVE-2023-27997
CVE-2024-21762
المهاجمين استخدموا أسلوب يسمح ليهم يحتفظوا بوصول "Read-only" حتى بعد ما الثغرات الأصلية اتقفلت.
الأسلوب بيعتمد على حاجة اسمها symlink.
في الهجوم ده، المهاجم أنشأ symlink بيربط بين user filesystem وroot filesystem، وده جوه مجلد بيخدم ملفات اللغة الخاصة بـ SSL-VPN.
بما إن التعديل ده حصل في user filesystem، ما كانش ظاهر في الأماكن اللي بيتم فحصها أو مراقبتها.
وده سهّل عليه يفضل شغّال حتى بعد تحديث النظام.
الفكرة إن FortiGate لما يفتح ملف لغة من واجهة VPN، ممكن فعليًا يكون بيقرأ ملف حساس في النظام بيشاور عليه الـ symlink.
وده بيدي المهاجم read-only access لملفات مهمة زي الإعدادات من غير أي صلاحيات تنفيذ.
الطريقة دي بتشتغل على الأجهزة اللي مفعّل عليها SSL-VPN بس.
إيه الحل؟
شركة Fortinet طبقت أكتر من إجراء علشان تقفل الاستغلال ده:
عملت signature في AV/IPS يقدر يكتشف ويحذف الـ symlink الضار من الأجهزة المصابة
الإصدارات الجديدة من FortiOS بقت بتكشف وجود symlink وتشيله تلقائي
SSL-VPN بقى بيخدم فقط الملفات المتوقعة من المجلد، ومش أي حاجة تانية
كمان Fortinet بدأت تواصل استباقي مع العملاء، علشان ينفذوا التحديثات بسرعة، من غير ما يتسبب ده في كشف تفاصيل ممكن تفتح باب لهجمات جديدة.
الإصدارات اللي بتقفل الطريقة دي:
FortiOS 6.4.16
FortiOS 7.0.17
FortiOS 7.2.11
FortiOS 7.4.7
FortiOS 7.6.2
لو عندك FortiGate عليه SSL-VPN، حدّث فورًا، وراجع الإعدادات كويس.
أعلنت شركة Fortinet عن هجوم جديد بيستمر حتى بعد سد الثغرات. الهجوم بيتم باستخدام أي من الثغرات دي:
CVE-2022-42475
CVE-2023-27997
CVE-2024-21762
المهاجمين استخدموا أسلوب يسمح ليهم يحتفظوا بوصول "Read-only" حتى بعد ما الثغرات الأصلية اتقفلت.
الأسلوب بيعتمد على حاجة اسمها symlink.
إيه الـ symlink ده ؟
الـ symlink أو symbolic link هو ملف بيشتغل كاختصار، بيخلّي النظام لما يفتح ملف معين، يقرأ فعليًا ملف تاني في مكان مختلف.في الهجوم ده، المهاجم أنشأ symlink بيربط بين user filesystem وroot filesystem، وده جوه مجلد بيخدم ملفات اللغة الخاصة بـ SSL-VPN.
بما إن التعديل ده حصل في user filesystem، ما كانش ظاهر في الأماكن اللي بيتم فحصها أو مراقبتها.
وده سهّل عليه يفضل شغّال حتى بعد تحديث النظام.
الفكرة إن FortiGate لما يفتح ملف لغة من واجهة VPN، ممكن فعليًا يكون بيقرأ ملف حساس في النظام بيشاور عليه الـ symlink.
وده بيدي المهاجم read-only access لملفات مهمة زي الإعدادات من غير أي صلاحيات تنفيذ.
الطريقة دي بتشتغل على الأجهزة اللي مفعّل عليها SSL-VPN بس.
إيه الحل؟
شركة Fortinet طبقت أكتر من إجراء علشان تقفل الاستغلال ده:
عملت signature في AV/IPS يقدر يكتشف ويحذف الـ symlink الضار من الأجهزة المصابة
الإصدارات الجديدة من FortiOS بقت بتكشف وجود symlink وتشيله تلقائي
SSL-VPN بقى بيخدم فقط الملفات المتوقعة من المجلد، ومش أي حاجة تانية
كمان Fortinet بدأت تواصل استباقي مع العملاء، علشان ينفذوا التحديثات بسرعة، من غير ما يتسبب ده في كشف تفاصيل ممكن تفتح باب لهجمات جديدة.
الإصدارات اللي بتقفل الطريقة دي:
FortiOS 6.4.16
FortiOS 7.0.17
FortiOS 7.2.11
FortiOS 7.4.7
FortiOS 7.6.2
لو عندك FortiGate عليه SSL-VPN، حدّث فورًا، وراجع الإعدادات كويس.