هشدار امنیتی Fortinet: شناسایی حمله‌ای پیشرفته علیه دستگاه‌های  FortiGate

در تاریخ ۱۰ آوریل ۲۰۲۵ شرکت Fortinet گزارشی منتشر کرده که از حمله یک عامل تهدید (Threat Actor) به دستگاه‌های FortiGate  پرده برمی‌دارد. این حمله با سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده، انجام شده است؛ اما نکته نگران‌کننده آنجاست که مهاجم حتی پس از نصب وصله‌های امنیتی (Patch)، همچنان دسترسی خود را حفظ کرده است.

جزئیات فنی حمله

مهاجم از روشی موسوم به لینک نمادین (symlink) بهره برده است. این تکنیک به او اجازه داده تا به کمک ایجاد پیوند در فایل ‌سیستم SSL-VPN، به اطلاعات حساس دستگاه‌ها که به شکل فقط‌خواندنی است (read-only) دسترسی یابد. این لینک‌ها طوری ایجاد شده‌اند که در مسیرهای خاصی از سیستم قرار گیرند و از چشم سیستم‌های امنیتی و به‌روزرسانی‌ها پنهان بمانند.

چه کسانی در معرض خطر هستند؟

تنها کاربرانی که ویژگی SSL-VPN را در دستگاه FortiGate خود فعال کرده‌اند، در معرض این تهدید قرار دارند. دستگاه‌هایی که هرگز از این قابلیت استفاده نکرده‌اند، آسیب‌پذیر نیستند.

آسیب‌پذیری‌های مورداستفاده

این حمله بر پایه آسیب‌پذیری‌هایی انجام شده که قبلاً توسط Fortinet با شناسه‌های زیر معرفی شده بودند:

• FG-IR-22-398
• FG-IR-23-097
• FG-IR-24-015

واکنش Fortinet چه بوده است؟

Fortinet  در پاسخ به این تهدید، اقدامات زیر را اجرا کرده است:

1. ارائه نسخه‌های جدید FortiOS با قابلیت شناسایی و حذف لینک‌های مخرب
2. اضافه‌کردن امضاهای امنیتی به سیستم‌های AV/IPS برای شناسایی حملات
3. اطلاع‌رسانی مستقیم به مشتریان آسیب‌پذیر و ارائه دستورالعمل‌های اصلاحی
4. انتشار تحلیل رسمی و دقیق از تکنیک‌های مورد استفاده مهاجم

توصیه دوران به مدیران امنیت سایبری

اگر از محصولات FortiGate استفاده می‌کنید، هم‌اکنون اقدامات زیر را انجام دهید:

• حتماً FortiOS را به آخرین نسخه به‌روزرسانی کنید
• فایل‌سیستم SSL-VPN را بررسی و لاگ‌های دسترسی را تحلیل کنید
• تنظیمات و دسترسی‌های کاربران را مرور کنید
• از فعال بودن سیستم‌های مانیتورینگ و شناسایی تهدید مطمئن شوید
• بهره‌گیری از فناوری‌ها و محصولات بومی را در نظر بگیرید

برای اطلاعات فنی بیشتر، به صفحه رسمی Fortinet  مراجعه فرمایید.