رک شبکه
در آوریل 2025، Shadowserver گزارش داد مبنی براینکه بیش از 16 هزار دستگاه Fortinet Fortigate به یک مکانیزم پایداری جدید آلوده شده اند که به مهاجمان امکان دسترسی فقط خواندنی(Read) به فایل های حساس در سیستم فایل ریشه(root file system) را می دهد. این مکانیزم پایداری از طریق لینک های نمادین(symlinks) در پوشه فایل های زبان دستگاه های Fortigate با قابلیت SSL-VPN فعال انجام می شود. از آنجا که این پوشه ها به صورت عمومی قابل دسترسی هستند، مهاجمان می توانند بدون نیاز به احراز هویت، به فایل های حساس دسترسی پیدا کنند.
نکته قابل توجه این است که این حملات به آسیبپذیریهای جدید مربوط نمیشوند، بلکه ریشه آنها به حملات آغازشده در سال ۲۰۲۳ بازمیگردد. در آن زمان، مهاجمان با سوءاستفاده از آسیبپذیریهای روز صفر (Zero-day) موفق به نفوذ به دستگاههای FortiOS شدند و پس از آن، اقدام به پیادهسازی مکانیزمهایی برای حفظ دسترسی پایدار در سیستمها کردند.
توصیه ها
- اگر از دستگاه های Fortigate با قابلیت SSL-VPN فعال استفاده می کنید، بررسی کنید که آیا پوشه فایل های زبان حاوی لینک های نمادین مشکوک به سیستم های فایل ریشه است یا خیر.
- حتی اگر دستگاه های خود را بروزرسانی کرده اید، ممکن است این مکانیزم پایدار همچنان فعال باشد; بنابراین بررسی دقیق دستگاها توصیه می شود.
- با مشاورههای تخصصی نتیک، حفرههای امنیتی رو قبل از هکرها پیدا کنید.
