حملات جدید به زیرساخت‌های امنیت شبکه

سوءاستفاده از FortiGate برای نفوذ به شبکه‌ها

fortigate-network-breach-campaign
پژوهشگران امنیتی از کمپینی خبر داده‌اند که در آن مهاجمان با نفوذ به FortiGate NGFW به اطلاعات شبکه و حساب‌های سرویس دسترسی پیدا کرده‌اند.

محققان امنیت سایبری اعلام کردند مهاجمان با سوءاستفاده از آسیب‌پذیری‌های FortiGate NGFW یا استفاده از اعتبارنامه‌های(نام کاربری و رمز عبور حساب‌های سرویس) ضعیف، به شبکه سازمان‌ها نفوذ کرده‌اند. مهاجمان پس از دسترسی به این تجهیزات، فایل‌های پیکربندی حاوی اطلاعات حساس از جمله حساب‌های سرویس و ساختار شبکه را استخراج کرده و سپس با استفاده از Active Directory و LDAP دسترسی خود را گسترش داده‌اند. این حملات عمدتاً بخش‌های سلامت، دولت و شرکت‌های ارائه‌دهنده خدمات مدیریت‌شده را هدف قرار داده است.

پژوهشگران امنیت سایبری نسبت به کمپین جدیدی هشدار داده‌اند که در آن مهاجمان از تجهیزات FortiGate Next Generation Firewall به‌عنوان نقطه ورود برای نفوذ به شبکه‌های سازمانی استفاده می‌کنند.

بر اساس گزارشی که توسط شرکت امنیت سایبری SentinelOne منتشر شده، مهاجمان با بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده یا استفاده از اعتبارنامه‌های ضعیف در این دستگاه‌ها، فایل‌های پیکربندی حساس را استخراج کرده‌اند. این فایل‌ها حاوی اطلاعاتی از جمله اعتبارنامه‌های حساب‌های سرویس(توکن‌های احراز هویت)، ساختار شبکه و اطلاعات توپولوژی سازمانی بوده‌اند.

دسترسی گسترده FortiGate به زیرساخت سازمانی

طبق گفته پژوهشگران Alex Delamotte، Stephen Bromfield، Mary Braden Murphy و Amey Patne، تجهیزات FortiGate معمولاً دسترسی گسترده‌ای به محیط‌های سازمانی دارند، زیرا برای تحلیل و کنترل ترافیک شبکه به سیستم‌های احراز هویت متصل می‌شوند.

در بسیاری از پیاده‌سازی‌ها، این تجهیزات از طریق حساب‌های سرویس به زیرساخت‌های احراز هویت مانند Active Directory و Lightweight Directory Access Protocol متصل هستند. این ارتباط به دستگاه اجازه می‌دهد نقش کاربران را شناسایی کرده و سیاست‌های امنیتی مبتنی بر نقش را اجرا کند.

با این حال، همین سطح دسترسی بالا می‌تواند در صورت نفوذ به دستگاه، به مهاجمان امکان دسترسی به اطلاعات حساس و گسترش حمله در شبکه را بدهد.

بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده

در این کمپین، مهاجمان از چند آسیب‌پذیری شناخته‌شده در محصولات Fortinet بهره برده‌اند، از جمله:

  • CVE-2025-59718
  • CVE-2025-59719
  • CVE-2026-24858

همچنین در برخی موارد از پیکربندی‌های ضعیف یا رمزهای عبور ناکافی(رمز عبور ساده) برای دسترسی اولیه استفاده شده است.

سناریوی نفوذ در یک حادثه واقعی

در یکی از حوادث بررسی‌شده، مهاجمان در نوامبر ۲۰۲۵ به یک دستگاه FortiGate نفوذ کرده و یک حساب مدیر محلی جدید با نام support ایجاد کردند.

سپس چهار سیاست جدید در فایروال تعریف شد که به این حساب اجازه می‌داد بدون هیچ محدودیتی در تمام نواحی شبکه حرکت کند. مهاجم به‌صورت دوره‌ای دسترسی به دستگاه را بررسی می‌کرد؛ رفتاری که با فعالیت‌های Initial Access Broker (IAB) مطابقت دارد، یعنی ایجاد دسترسی اولیه برای فروش به سایر گروه‌های مجرمان سایبری.

مرحله بعدی حمله در فوریه ۲۰۲۶ شناسایی شد، زمانی که مهاجم فایل پیکربندی دستگاه را استخراج کرد. این فایل حاوی اعتبارنامه‌های رمزگذاری‌شده حساب سرویس LDAP بود.

استخراج اعتبارنامه و نفوذ به Active Directory

طبق تحلیل SentinelOne، مهاجم پس از رمزگشایی فایل پیکربندی توانست اعتبارنامه‌های سرویس(کلیدهای دسترسیfortidcagent را به‌دست آورد.

شواهد نشان می‌دهد مهاجم با استفاده از این اعتبارنامه‌ها توانسته به Active Directory سازمان وارد شود و ایستگاه‌های کاری جعلی را در دامنه ثبت کند. این اقدام امکان دسترسی عمیق‌تر به شبکه و اجرای عملیات شناسایی را فراهم کرده است.

پس از این مرحله، مهاجم شروع به اسکن شبکه کرد، اما فعالیت مشکوک در همین مرحله شناسایی شد و حرکت یا فعالیت جانبی بیشتر در شبکه متوقف شد.

استقرار ابزارهای دسترسی از راه دور

در یک حادثه دیگر که در ژانویه ۲۰۲۶ بررسی شده است، مهاجمان پس از نفوذ به فایروال به سرعت ابزارهای دسترسی از راه دور را در شبکه مستقر کردند.

از جمله این ابزارها می‌توان به موارد زیر اشاره کرد:

  • Pulseway
  • MeshAgent

علاوه بر این، مهاجم بدافزاری را از یک مخزن ابری در زیرساخت Amazon Web Services دانلود کرد.

این بدافزار Java که از طریق تکنیک DLL side-loading اجرا می‌شد، برای استخراج داده‌های حساس از جمله فایل NTDS.dit و رجیستری SYSTEM مورد استفاده قرار گرفت. داده‌ها سپس به یک سرور خارجی از طریق پورت ۴۴۳ منتقل شدند.

اهمیت امنیت تجهیزات NGFW

پژوهشگران تأکید کرده‌اند که تجهیزات Next Generation Firewall (NGFW) به دلیل نقش مرکزی در نظارت و کنترل شبکه، اهداف بسیار ارزشمندی برای مهاجمان محسوب می‌شوند.

این دستگاه‌ها معمولاً به زیرساخت‌های حیاتی سازمان متصل هستند و در صورت نفوذ می‌توانند به نقطه کنترل کامل شبکه تبدیل شوند. به همین دلیل، مهاجمان مختلف از جمله گروه‌های جاسوسی دولتی و مجرمان سایبری مالی‌محور مانند اپراتورهای باج‌افزار، به‌طور فزاینده‌ای این تجهیزات را هدف قرار می‌دهند.

توصیه‌های امنیتی

کارشناسان امنیتی توصیه می‌کنند سازمان‌ها اقدامات زیر را برای کاهش ریسک انجام دهند:

  • نصب سریع وصله‌های(بروزرسانی) امنیتی منتشرشده برای محصولات Fortinet
  • تغییر اعتبارنامه‌های پیش‌فرض و استفاده از احراز هویت چندمرحله‌ای
  • محدودسازی دسترسی مدیریتی به دستگاه‌ها
  • پایش لاگ‌های سیستم برای شناسایی فعالیت‌های غیرعادی
  • بررسی منظم فایل‌های پیکربندی و حساب‌های مدیریتی
۲۰ اسفند ۱۴۰۴ ۱۵:۵۵
تعداد بازدید: ۵

اظهار نظر

ایمیل را وارد کنید
تعداد کاراکتر باقیمانده: 500
نظر خود را وارد کنید

ارسال