هکر ها از آسیبپذیری Fortinet سواستفاده کردند
طبق گزارش اخیر FBI، گروه APT (هکرهای حامی دولت) از نقاط ضعف موجود در VPNهای بهروز نشده Fortinet از یک وب سرور متعلق به یکی از شهرداریهای آمریکا سوءاستفاده کردند.
طبق گزارش اخیر FBI، گروه APT (هکرهای حامی دولت) از نقاط ضعف موجود در VPNهای بهروز نشده Fortinet از یک وب سرور متعلق به یکی از شهرداریهای آمریکا سوءاستفاده کردند.
به گزارش آدفا به نقل از FBI، گردانندگان APT در حال ساختن حسابهای “WADGUtilityAccount” و “elie” در سیستمهای هک شده از ارگانهای دولتهای محلی هستند تا از آنها برای جمعآوری اطلاعات شبکه آسیبدیده قربانیان استفاده کنند.گروه APT مذکور پس از دسترسی به وب سرور، سرورها و حساب کاربری جدید ایجاد کردند.
دو سازمان FBI و CISA در ماه آوریل نیز در مورد حملات گردانندگان APT با سوءاستفاده از چندین آسیبپذیری در سرورهای Fortinet FortiOS، هشدار داده بودند.
آسیبپذیریهایی که به طور فعال گروه APT از آنها سوءاستفاده میکنند در زیر ذکر شده است:
CVE-۲۰۱۸-۱۳۳۷۹
CVE-۲۰۱۹-۵۵۹۱
CVE-۲۰۲۰-۱۲۸۱۲
کارشناسان توضیح دادهاند که این گروه APT ممکن است از سرورهای در معرض خطر استفاده کنند تا بخشهای مهم زیرساخت را برای اجرای حملات آینده هدف قرار دهند.
گروه APT از هفت ابزار زیر برای اجرای حملات خود استفاده کرده است:
• Mimikatz (سرقت نام های کاربری و رمزهای عبور)
• MinerGate (استخراج رمزنگاری)
• WinPEAS (افزایش دسترسی)
• SharpWMI (ابزار مدیریت Windows)
• فعالسازی BitLocker (رمزگذاری داده)
• WinRAR (آرشیو)
• FileZilla (انتقال فایل)
گردانندگان APT در هدف قراردادن تجهیزات Fortinet سابقه دارند. هدف هکرهای دولتی یاAPT ها در سالهای گذشته سرورهای به روز نشده Fortinet بوده است و حتی در نوامبر ۲۰۲۰ هکرها با سوءاستفاده از آسیبپذیری CVE-۲۰۱۸-۱۳۳۷۹ به بیش از ۵۰ هزار سرور Fortinet VPN زیرساختهای حیاتی مانند دولتها و بانکها، نفوذ کردند.
راهکارهای سازمانهای FBI و CISA برای کاهش اثرات حملات APT
– نصب بیدرنگ وصلههای مربوط به CVE های -۱۳۳۷۹-۲۰۱۸ ، ۱۲۸۱۲-۲۰۲۰ و ۵۵۹۱-۲۰۱۹
– بازرسی همه domain contrellerها، سرورها، workstationها و دایرکتوریهای فعال
– برای انجام کارهای برنامهریزینشده، برنامه زمانبندی وظایف را بررسی کنید.
– بررسی مرتب گزارشهای آنتیویروس
– به طور منظم از دادهها پشتیبان تهیه کنید.
– اجرای تقسیمبندی شبکه
آخرین بهروزرسانیها را نصب کنید.
– استفاده از احراز هویت چندعاملی
– از استفاده مجدد از رمزهای عبور قدیمی خودداری و سعی کنید به طور مرتب رمزهای عبور خود را تغییر دهید.
– غیر فعال کردن پورتهای استفاده نشده از راه دور / پروتکل ریموت دسکتاپ (RDP)
– حسابهای کاربری را با دسترسیهای Administrator بازرسی کنید.
– ابزارهای آنتیویروس را نصب و به طور مرتب بهروز کنید.
– همیشه از یک شبکه خصوصی مجازی (VPN) استفاده کنید.
– غیر فعال کردن هایپر لینکها در ایمیلهای دریافتی
به راهبران سیستمهای زیرساختها توصیه میشود برای جلوگیری از چنین حملات و پالایش سیستمها و شبکههای به خطر افتاده، این اقدامات را با جدیت دنبال کنند.
پاسخی بگذارید