x32x01
  • بواسطة x32x01 ||
هجوم مستمر على أجهزة FortiGate رغم إن الثغرات القديمة اتقفلت !!!
أعلنت شركة Fortinet عن هجوم جديد بيستمر حتى بعد سد الثغرات. الهجوم بيتم باستخدام أي من الثغرات دي:
CVE-2022-42475
CVE-2023-27997
CVE-2024-21762
المهاجمين استخدموا أسلوب يسمح ليهم يحتفظوا بوصول "Read-only" حتى بعد ما الثغرات الأصلية اتقفلت.
الأسلوب بيعتمد على حاجة اسمها symlink.

إيه الـ symlink ده ؟​

الـ symlink أو symbolic link هو ملف بيشتغل كاختصار، بيخلّي النظام لما يفتح ملف معين، يقرأ فعليًا ملف تاني في مكان مختلف.
في الهجوم ده، المهاجم أنشأ symlink بيربط بين user filesystem وroot filesystem، وده جوه مجلد بيخدم ملفات اللغة الخاصة بـ SSL-VPN.

بما إن التعديل ده حصل في user filesystem، ما كانش ظاهر في الأماكن اللي بيتم فحصها أو مراقبتها.
وده سهّل عليه يفضل شغّال حتى بعد تحديث النظام.

الفكرة إن FortiGate لما يفتح ملف لغة من واجهة VPN، ممكن فعليًا يكون بيقرأ ملف حساس في النظام بيشاور عليه الـ symlink.
وده بيدي المهاجم read-only access لملفات مهمة زي الإعدادات من غير أي صلاحيات تنفيذ.
الطريقة دي بتشتغل على الأجهزة اللي مفعّل عليها SSL-VPN بس.

إيه الحل؟
شركة Fortinet طبقت أكتر من إجراء علشان تقفل الاستغلال ده:
عملت signature في AV/IPS يقدر يكتشف ويحذف الـ symlink الضار من الأجهزة المصابة
الإصدارات الجديدة من FortiOS بقت بتكشف وجود symlink وتشيله تلقائي
SSL-VPN بقى بيخدم فقط الملفات المتوقعة من المجلد، ومش أي حاجة تانية

كمان Fortinet بدأت تواصل استباقي مع العملاء، علشان ينفذوا التحديثات بسرعة، من غير ما يتسبب ده في كشف تفاصيل ممكن تفتح باب لهجمات جديدة.
الإصدارات اللي بتقفل الطريقة دي:
FortiOS 6.4.16
FortiOS 7.0.17
FortiOS 7.2.11
FortiOS 7.4.7
FortiOS 7.6.2
لو عندك FortiGate عليه SSL-VPN، حدّث فورًا، وراجع الإعدادات كويس.
 
المواضيع ذات الصلة
x32x01
الردود
0
المشاهدات
438
x32x01
x32x01
x32x01
الردود
0
المشاهدات
612
x32x01
x32x01
x32x01
الردود
0
المشاهدات
642
x32x01
x32x01
x32x01
الردود
0
المشاهدات
579
x32x01
x32x01
x32x01
الردود
0
المشاهدات
8
x32x01
x32x01
الدخول أو التسجيل السريع
نسيت كلمة مرورك؟
إحصائيات المنتدى
المواضيع
1,759
المشاركات
1,970
أعضاء أكتب كود
373
أخر عضو
zezo
عودة
أعلى