بررسی آسیب‌پذیری جدید‌ در تجهیزات Fortinet و Palo Alto

هشدار: Patch امنیتی تجهیزات Fortinet را نصب کنید

در صورتی که کاربران، از VPN موجود در تجهیزات Fortinet و Palo Alto و یا Pulse Secure استفاده می‌کنند باید Patch امنیتی  مورد نیاز برای رفع نقص محصولات را دانلود و اجرا نمایند، سپس از طریق Logهای ذخیره شده توسط سیستم مانیتورینگ به دنبال نشانه‌های تهدید بگردند. همانگونه که پایگاه خبری ZDNet در ماه سپتامبر هشدار داد، گروهی از مهاجمان سایبری وابسته به کشور چین، که به عنوان APT5 شناخته می‌شوند، با استفاده از محصولات Fortinet و Pulse Secure به سرورهای VPN سازمانی حمله کرده‌اند. با این حال احتمال آن می‌رود که APT5 تنها گروهی از مهاجمان سایبری وابسته به حکومت نباشند که سعی دارند از این آسیب‌پذیری‌ها استفاده کنند. مرکز امنیت سایبری ملی بریتانیا (NCSC)، به سازمان‌ها هشدار می‌دهد که محصولات واسط کاربری GlobalProtect Gateway و پورتال GlobalProtect متعلق به Palo Alto توسط گروهی از مهاجمان سایبری وابسته به حکومت مورد حمله قرار گرفته‌اند.

سازمان NCSC اذعان کرد این حملات، بریتانیا و سازمان‌های بین‌المللی را هدف قرار داده است. بخش‌های آسیب‌دیده شامل دولت، ارتش، موسسات آموزشی، سازمان‌ها و خدمات درمانی می‌باشند و در اسناد Open Source مستند گردیده‌اند.

NCSC شش مورد از موثرترین آسیب‌پذیری‌ها را در بین محصولاتی که گروه‌های APT آن‌ها را Exploit کرده‌اند، مورد تاکید قرار داده‌است. Patchهای هریک از آسیب‌پذیری‌ها در دسترس بوده و به مدیران شبکه‌ی سازمان‌ها توصیه شده است که جهت پیشگیری از نفوذ سریعا تجهیزات آسیب‌پذیر را به‌روزرسانی کنند؛ زیرا کدهای Exploit برای حفره‌های امنیتی ذکر شده در اینترنت قابل دسترس هستند.

برخی از حفره‌های امنیتی در ماه‌های اخیر، پیش از آنکه استفاده از آن‌ها برای حمله به Fortinet و Pulse Secure آشکار گردد، در برخی از سایت‌ها ارائه شده‌ بودند. آسیب‌پذیری‌های VPN به مهاجمین این امکان را می‌دهد که اطلاعات احراز هویت کاربران را به دست آورده و بتوانند جهت اتصال به VPN و تغییر تنظیمات و یا ارائه‌ی سطح دسترسی برای استفاده از Exploitهای بعدی از آن استفاده کنند.

این حفره‌های امنیتی عبارتند از دو آسیب‌پذیری که در تجهیز Pulse Connect Secure VPN تاثیر گذار هستند، یعنی CVE-2019-11510 و CVE-2019-11539، سه آسیب‌پذیری موثر در تجهیزات Fortigate متعلق به Fortinet، یعنی CVE-2018-13379 و CVE-2018-13382 و CVE-2018-13383 و همچنین یک آسیب‌پذیری باعث اجرای کد Remote پرخطر در محصولات واسط کاربری GlobalProtect Gateway و پورتال GlobalProtect متعلق به Palo Alto، یعنی CVE-2019-1579 می‌شود.

با توجه به این حملات، NCSC دستورالعمل‌هایی دقیق و مختص به هر محصول را برای مدیران شبکه ارائه نموده تا Logها را برای نشانه‌هایی از نفوذ در گذشته مورد بررسی قرار دهند. به عنوان مثال برای CVE-2019-11510 که تجهیز Pulse Secure را مورد هدف قرار داده، پیشنهاد می‌گردد، Logهایی با شرایط زیر را جستجو کنند

URLهایی که با علامت سوال شروع شده و با /dana/html5acc/guacamole/ تمام می شوند به عنوان مثال:

\?.*dana/html5acc/guacamole/

همچنین خاطرنشان می‌کند، در صورتی که تاریخ هر یک از آن‌ Logها به قبل از اعمال Patch امنیتی برمی‌گردد، ممکن است نشان‌دهنده‌ی یک نفوذ باشد. String منطبق، حاوی اسم فایلی است که مهاجم سعی در خواندن آن داشته است. در صورتی که ادمین‌های شبکه در طی بررسی ها متوجه شوند که sslvpn_websession دانلود شده است، ممکن است CVE-2018-13379 که آسیب‌پذیری مربوط به Fortinet است، Exploit شده باشد. حجم این فایل حداقل 200 کیلوبایت بوده و حاوی نام‌های کاربری و رمز عبورهای کاربران فعال می‌باشد.

آسیب پذیری Palo Alto

همچنین در مورد VPNهای Palo Alto باید Logها به دقت بررسی شود. لازم به ذکر است مواردی که در آنها Crash مشاهده شده ممکن است حاصل تلاش‌های Exploit ناموفق باشند. NCSC به سازمان‌های مورد حمله‌ی مهاجمین سایبری هشدار داده است که تمام تنظیمات VPN را بررسی نموده و بررسی‌های دیگری را نیز برای Log، سرویس‌هایی مانند سرویس ایمیلی که کاربران از طریق VPN به شبکه متصل می‌کنند، صورت دهند.

در راستای ارتقاء ساختار سازمان، پیشنهاد می‌دهد دستگاه‌هایی که در معرض آسیب قرار داشته‌اند، سریعا پاکسازی شوند. به علاوه، سازمان‌ها باید احراز هویت دو مرحله‌ای (Two-Factor Authentication) برای VPNها پیاده‌سازی کنند و پورت‌ها و دسترسی‌های غیرضروری برروی ارتباط VPN را مسدود نمایند.