نقاط الضعف في Fortinet وZoho

تحذير CISA: قراصنة الدولة القومية يستغلون نقاط الضعف في Fortinet وZoho.

تحذير CISA: قراصنة الدولة القومية يستغلون نقاط الضعف في Fortinet وZoho. حذر مكتب الأمن السيبراني والبنية التحتية (CISA) الأمريكي يوم الخميس من أن مجموعات APT (التهديدات المستمرة المتقدمة) التي تدعمها الدولة تستغل الثغرات الأمنية في Fortinet FortiOS SSL-VPN و Zoho ManageEngine ServiceDesk Plus للوصول غير المصرح به وإنشاء استمرارية على الأنظمة المصابة.

وفقًا لتنبيه مشترك نُشره الوكالة إلى جانب مكتب التحقيقات الفيدرالي (FBI) و Cyber National Mission Force (CNMF): “استغل APT actors CVE-2022-47966 للوصول غير المصرح به إلى تطبيق واجهة أمامية عامة (Zoho ManageEngine ServiceDesk Plus) ، وإنشاء استمرارية ، والتحرك لاحقًا عبر الشبكة.”

لم يتم الكشف عن هوية مجموعات التهديد التي تقف وراء الهجمات ، على الرغم من أن قيادة Cyber Command الأمريكية (USCYBERCOM) أشارت إلى تورط مجموعات APT الإيرانية.

تستند النتائج إلى مشاركة استجابة للحادث أجرتها CISA في منظمة قطاع الطيران غير المسماة من فبراير إلى أبريل 2023. هناك دليل يشير إلى أن النشاط الضار بدأ في 18 يناير 2023.

يشير CVE-2022-47966 إلى ثغرة أمنية برمجية عن بعد حرجة تسمح لمهاجم غير مصادق عليه بالسيطرة الكاملة على الأنظمة المصابة.

بعد الاستغلال الناجح لـ CVE-2022-47966 ، حصل APT actors على وصول root إلى خادم الويب واتخذوا خطوات لتنزيل برامج ضارة إضافية ، حصر الشبكة ، جمع بيانات اعتماد مستخدمي الإدارة ، والتحرك لاحقًا عبر الشبكة.

هل تم تسريب أي معلومات خاصة.

من غير الواضح على الفور ما إذا تم تسريب أي معلومات خاصة نتيجة لذلك.

يُقال أيضًا أن الكيان المعني قد تم اختراقه باستخدام vector وصول أولي ثانوي تضمن استغلال CVE-2022-42475. وهو خطأ فادح في Fortinet FortiOS SSL-VPN ، للوصول إلى جدار الحماية.

“تم التحديد أن APT actors قد اخترقوا واستخدموا بيانات اعتماد حساب إداري قانوني معطل من مقاول تم تعيينه سابقًا – والذي أكدت المنظمة أن المستخدم قد تم تعطيله قبل النشاط الملاحظ” ، قالت CISA.

وُ observed أن المهاجمين قد بدأوا أيضًا في إجراء العديد من جلسات Transport Layer Security (TLS) المشفرة إلى عناوين IP متعددة. مما يشير إلى نقل البيانات من جهاز جدار الحماية. بالإضافة إلى استخدام بيانات اعتماد صالحة للانتقال من جدار الحماية إلى خادم ويب ونشر قذائف ويب للوصول الخلفي.

في كلتا الحالتين. يُقال إن الخصوم قد عطلوا بيانات اعتماد حساب المسؤول وحذفوا السجلات من العديد من الخوادم الحرجة في البيئة في محاولة لمحو المسار الجنائي لأنشطتهم.

“بين أوائل فبراير ومنتصف مارس 2023. لوحظ أيدسك. exe على ثلاثة مضيفين “. لاحظت CISA. “استغل APT actors مضيفًا واحدًا وانتقلوا لاحقًا لتثبيت القابل للتنفيذ على الباقي.”

من غير المعروف حاليًا كيف تم تثبيت AnyDesk على كل جهاز. إحدى التقنيات المستخدمة في الهجمات تضمنت استخدام عميل ConnectWise ScreenConnect الشرعي لتنزيل وتشغيل أداة تفريغ بيانات اعتماد Mimikatz.

علاوة على ذلك. حاول الممثلون استغلال ثغرة أمنية معروفة في Apache Log4j (CVE-2021-44228 أو Log4Shell) في نظام ServiceDesk للوصول الأولي ولكنهم لم ينجحوا في النهاية.

في ضوء استمرار استغلال الثغرات الأمنية. يوصى بأن تقوم organizations بتطبيق التحديثات الأخيرة. ومراقبة الاستخدام غير المصرح به لبرامج الوصول عن بعد. وحذف الحسابات والمجموعات غير الضرورية لمنع إساءة استخدامها.

توصيات للمستخدمين

بناءً على المعلومات الواردة في المقالة. إليك بعض التوصيات للمستخدمين الذين يستخدمون منتجات Fortinet أو Zoho:

  • قم بتثبيت التحديثات الأمنية على الفور. تتوفر التصحيحات لإصلاح الثغرات الأمنية المذكورة في المقالة.
  • قم بتطبيق أفضل الممارسات الأمنية. يمكن أن يساعد ذلك في حماية أجهزتك من الهجمات.

فيما يلي بعض أفضل الممارسات الأمنية:

  • قم بإنشاء كلمات مرور قوية ومختلفة لكل حساب.
  • قم بتمكين مصادقة متعددة العوامل (MFA) عندما تكون متاحة.
  • قم بإجراء نسخ احتياطية منتظمة من بياناتك.

من خلال اتباع هذه التوصيات ، يمكنك المساعدة في حماية أجهزتك من الهجمات.

توصيات إضافية

بالإضافة إلى التوصيات المذكورة أعلاه ، يوصى أيضًا بما يلي:

  • قم بمراقبة نشاط شبكةك بحثًا عن أي سلوك مشبوه.
  • قم بإجراء تدريبات دورية على أمن المعلومات للموظفين.
  • تأكد من أن لديك خطة استجابة للطوارئ جاهزة في حالة وقوع هجوم.

من خلال اتخاذ هذه الخطوات. يمكنك المساعدة في حماية مؤسستك من هجمات APT.

خاتمة

يعد استغلال الثغرات الأمنية في Fortinet FortiOS SSL-VPN و Zoho ManageEngine ServiceDesk Plus تهديدًا خطيرًا يمكن أن يؤدي إلى اختراق الأنظمة وسرقتها. من المهم أن تقوم المؤسسات بتطبيق التحديثات الأمنية على الفور واتخاذ خطوات أخرى للحماية من هذه الهجمات.

تحذير CISA: قراصنة الدولة القومية يستغلون نقاط الضعف في Fortinet وZoho. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة