هکر ها از آسیب‌پذیری Fortinet سواستفاده کردند

373

هکر ها از آسیب‌پذیری Fortinet سواستفاده کردند

طبق گزارش اخیر FBI، گروه APT  (هکرهای حامی دولت) از نقاط ضعف موجود در VPNهای به‌روز نشده Fortinet از یک وب سرور متعلق به یکی از شهرداری‌های آمریکا سوءاستفاده کردند.

طبق گزارش اخیر FBI، گروه APT  (هکرهای حامی دولت) از نقاط ضعف موجود در VPNهای به‌روز نشده Fortinet از یک وب سرور متعلق به یکی از شهرداری‌های آمریکا سوءاستفاده کردند. 

 
 
به گزارش آدفا به نقل از FBI، گردانندگان APT در حال ساختن حساب‌های “WADGUtilityAccount” و “elie” در سیستم‌های هک شده از ارگان‌های دولت‌های محلی هستند تا از آنها برای جمع‌آوری اطلاعات شبکه آسیب‌دیده قربانیان استفاده کنند.گروه APT مذکور پس از دسترسی به وب سرور، سرورها و حساب کاربری جدید ایجاد کردند. 
 
دو سازمان FBI و CISA در ماه آوریل نیز در مورد حملات گردانندگان APT با سوءاستفاده از چندین آسیب‌پذیری در سرورهای Fortinet FortiOS، هشدار داده بودند. 
 
آسیب‌پذیری‌هایی که به طور فعال گروه APT از آنها سوءاستفاده می‌کنند در زیر ذکر شده است: 
CVE-۲۰۱۸-۱۳۳۷۹ 
CVE-۲۰۱۹-۵۵۹۱ 
CVE-۲۰۲۰-۱۲۸۱۲ 
 
کارشناسان توضیح داده‌اند که این گروه APT ممکن است از سرورهای در معرض خطر استفاده کنند تا بخش‌های مهم زیرساخت را برای اجرای حملات آینده هدف قرار دهند. 
 
گروه APT از هفت ابزار زیر برای اجرای حملات خود استفاده کرده است: 
• Mimikatz (سرقت نام های کاربری و رمزهای عبور) 
• MinerGate (استخراج رمزنگاری) 
• WinPEAS (افزایش دسترسی) 
• SharpWMI (ابزار مدیریت Windows) 
• فعال‌سازی BitLocker (رمزگذاری داده) 
• WinRAR (آرشیو) 
• FileZilla (انتقال فایل) 
 
گردانندگان APT در هدف قراردادن تجهیزات Fortinet سابقه دارند. هدف هکرهای دولتی یاAPT ها در سال‌های گذشته سرورهای به روز نشده Fortinet بوده است و حتی در نوامبر ۲۰۲۰ هکرها با سوءاستفاده از آسیب‌پذیری CVE-۲۰۱۸-۱۳۳۷۹ به بیش از ۵۰ هزار سرور Fortinet VPN زیرساخت‌های حیاتی مانند دولت‌ها و بانک‌ها، نفوذ کردند. 

مشاوره رایگان امنیت


 
راهکارهای سازمان‌های FBI و CISA برای کاهش اثرات حملات APT 

– نصب بی‌درنگ وصله‌های مربوط به CVE های -۱۳۳۷۹-۲۰۱۸ ، ۱۲۸۱۲-۲۰۲۰ و ۵۵۹۱-۲۰۱۹ 
– بازرسی همه domain contrellerها، سرورها، workstationها و دایرکتوری‌های فعال 
– برای انجام کارهای برنامه‌ریزی‌نشده، برنامه زمان‌بندی وظایف را بررسی کنید. 
– بررسی مرتب گزارش‌های آنتی‌ویروس 
– به طور منظم از داده‌ها پشتیبان تهیه کنید. 
– اجرای تقسیم‌بندی شبکه 

 
آخرین به‌روزرسانی‌ها را نصب کنید. 


– استفاده از احراز هویت چندعاملی 
– از استفاده مجدد از رمزهای عبور قدیمی خودداری و سعی کنید به طور مرتب رمزهای عبور خود را تغییر دهید. 
– غیر فعال کردن پورت‌های استفاده نشده از راه دور / پروتکل ریموت دسکتاپ (RDP) 
– حساب‌های کاربری را با دسترسی‌های Administrator بازرسی کنید. 
– ابزارهای آنتی‌ویروس را نصب و به طور مرتب به‌روز کنید. 
– همیشه از یک شبکه خصوصی مجازی (VPN) استفاده کنید. 
– غیر فعال کردن هایپر لینک‌ها در ایمیل‌های دریافتی 
 

 
به راهبران سیستم‌های زیرساخت‌ها توصیه می‌شود برای جلوگیری از چنین حملات و پالایش سیستم‌ها و شبکه‌های به خطر افتاده، این  اقدامات را با جدیت دنبال کنند. 

پاسخی بگذارید

آدرس ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *