سوء استفاده هکرها از آسیب پذیری VPN شرکت فورتی نت

به گفته اداره تحقیقات فدرال و سازمان امنیت سایبری و زیرساخت ایالات متحده هکرهای حرفه‌ای در حملات آینده خود احتمالا برای نفوذ به پایگاه‌های کسب‌وکارهای متوسط و بزرگ از نقطه ضعف‌های اساسی VPN شرکت فورتی‌نت استفاده می‌کنند.

آن‌ها در یک بیانیه مشترک اعلام کردند:

عاملان تهدیدهای پیشرفته و مستمر ممکن است از این نقاط ضعف یا سایر تکنیک‌های معمول برای دستیابی اولیه به چندین سرویس دولتی، تجاری و فناوری استفاده کنند. به دست آوردن دسترسی اولیه، باعث می‌شود عاملان این تهدیدها برای انجام حملات آینده خود در موقعیت مناسبی قرار بگیرند.

از اصطلاح تهدیدهای پیشرفته و مستمر یا APT برای توصیف گروه‌های هک سازمان یافته‌ای که از بودجه مناسبی برخوردار هستند و بسیاری از آن‌ها توسط دولت‌ها حمایت می‌شوند استفاده می‌شود.

VPN شرکت فورتی‌نت که مبتنی بر سیستم عامل اختصاصی FortiOS هستند، عمدتا برای محافظت از فایروال که از شبکه‌های حساس داخلی محافظت می‌کند، استفاده می‌شود. دو مورد از آسیب‌هایی که در این گزارش به آن‌ها اشاره شده - CVE-2018-13379 و CVE-2020-12812 - شدید به نظر می‌رسند زیرا این امکان را در اختیار هکرهای غیرمجاز قرار می‌دهد تا نسبت به سرقت برخی گواهی‌ها اقدام کنند و به VPN هایی که هنوز بروزرسانی نشده‌اند، متصل شوند.

طبق گفته «جیمز رنکن» یکی از مهندسین شرکت Internet Security Research Group اگر گواهی‌های VPN با سایر سرویس‌های داخلی نیز اشتراک گذاری شده باشد، مهاجم بلافاصله به آن سرویس‌ها هم دسترسی پیدا خواهد کرد. پس از آن مهاجم می‌تواند در شبکه داخلی کاوش کند و اطلاعات سرویس‌های مختلف آن را استخراج کند. رنکن یکی از افرادی است که پیش از این یکی از نقاط ضعف این VPN را کشف کرده بود.

یکی از بدترین اشکالات امنیتی - CVE-2018-13379 - توسط محققانی به نام Orange Tsai و Meh Chang از شرکت امنیتی Devcore کشف و فاش شد. آن‌ها در سخنرانی‌ سال ۲۰۱۹ خود در کنفرانس امنیتی «کلاه سیاه» این اشکال امنیتی را به عنوان «خواندن پرونده خودسرانه» توصیف کردند، به این معنی که هکرها هر پرونده‌ای را که مایل بود می‌توانست بخواند.

شرکت امنیتی Tenable در گزارش دیگری عنوان کرد که اشکال امنیتی CVE-2020-12812 منجر به دور زدن مرحله احراز هویت دو مرحله‌ای شده و ورود موفقیت‌آمیز هکرها می‌شود.

با این وجود Fortinet در بیانیه‌ای اعلام کرد:

امنیت مشتریان اولویت اصلی ما است. CVE-2018-13379 یک نقطه ضعف قدیمی است که در ماه مه سال ۲۰۱۹ برطرف شده است. Fortinet برای حل این مشکل بلافاصله «تیم پاسخگویی به حادثه امنیت محصول» را صادر کرد و به طور مستقیم با مشتریان در ارتباط بوده و از طریق پست‌های وبلاگ خود در آگوست ۲۰۱۹ و ژوئیه ۲۰۲۰ به آن‌ها توصیه کرد که نسخه خود را بروزرسانی کنند. به همین ترتیب  اشکالات مربوط به CVE-2019-5591 در جولای ۲۰۱۹ و CVE-2020-12812 در ژوئیه ۲۰۲۰ حل و فصل شدند

با این حال اداره تحقیقات فدرال و سازمان امنیت سایبری و زیرساخت ایالات متحده هیچ جزئیاتی درباره تهدیدهای پیشرفته و مستمر ذکر شده در بیانیه مشترک خود ارائه نکردند.