سوءاستفاده مهاجمان از FortiGate VPN برای توزیع باج‌افزار

مهاجمان با هدف قرار دادن یک آسیب‌پذیری در FortiGate VPN server به شبکه قربانیان رخنه کرده و باج‌افزار Cring را بر روی دستگاه‌ها توزیع می‌کنند.

به گزارش راه فناوری به نقل از مرکز مدیریت راهبردی افتا، آسیب‌پذیری سوءاستفاده شده توسط این مهاجمان، CVE-۲۰۱۸-۱۳۳۷۹ گزارش شده است.

مهاجمان با سوءاستفاده این آسیب‌پذیری با نام CVE-2018-13379 ، امکان خواندن فایل‌های سیستمی از جمله فایل نشست‌ها (Session) برای مهاجمان بدون نیاز به اصالت‌سنجی فراهم می‌شود و مهاجمان سایبری به راحتی به نام‌های کاربری و “رمزهای عبوری به‌صورت متن ساده” (Plain Text) دسترسی می‌یابند.

مهاجمان پس از فراهم شدن دسترسی، از ابزار Mimikatz برای استخراج اطلاعات اصالت‌سنجی حساب کاربرانی که پیش‌تر به دستگاه آلوده وارد شده‌اند استفاده کرده و در صورت دستیابی به یک حساب کاربری Domain Administrator دامنه نفوذ خود را در سطح شبکه افزایش می‌دهند.

شرکت کسپرسکی در گزارشی یادآوری کرده است که به‌تازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیب‌پذیری شامل CVE-2018-13379 در محصولات Fortinet هم خبر داده بودند.

اگر چه اصلاحیه CVE-2018-13379 در می 2019 عرضه شد اما در نوامبر 2020 شرکت سازنده اعلام کرد که سهم قابل‌توجهی از سخت‌افزارهای Fortinet به دلیل عدم اعمال اصلاحیه مربوطه توسط راهبران آنها همچنان آسیب‌پذیر باقی مانده‌اند و حتی نشانی IP برخی از آنها را تبهکاران سایبری به فروش می‌رسانند.

نام 23 فایلی که که باج افزار Cring آنها را برای باج خواهی رمزگذاری می‌کند، اطلاعات فنی این آسیب پذیری و نشانه‌های آلودگی آن، در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس: https://www.afta.gov.ir/portal/home/?news/235046/237266/243307 در دسترس متخصصان، کارشناسان و مدیران IT سازمان‌ها و دستگاه‌های زیرساختی کشور قرار گرفته است.

خبرهای مرتبط

ارسال یک پاسخ

نشانی رایانامه‌ی شما منتشر نخواهد شد.