تهدیدات نوظهور در دارکوب: از آسیبپذیری SSO تا سوءاستفاده از حفرههای Fortinet
در آخرین بررسیهای صورتگرفته توسط تیم اطلاعات تهدید SOCRadar، چندین مورد نگرانکننده در دارکوب شناسایی شده است که هم نهادهای عمومی و هم شرکتهای خصوصی را هدف قرار دادهاند. در این مقاله، چهار تهدید اصلی اخیر را بررسی میکنیم:
۱. آسیبپذیری روز صفر (Zero-Day) در سامانههای SSO
یک گروه ناشناس در دارکوب، جزئیات یک آسیبپذیری امنیتی از نوع Open Redirect را منتشر کردهاند که سامانههای Single Sign-On یا همان SSO را تحت تأثیر قرار میدهد. این آسیبپذیری به مهاجمان اجازه میدهد که کاربران را از طریق آدرسهای جعلی به سایتهای مخرب هدایت کرده و از آن طریق اقدام به فیشینگ یا سرقت نشست (Session Hijacking) کنند.
آنچه این آسیبپذیری را خطرناکتر میکند، این است که هیچ وصله (Patch) امنیتی برای آن منتشر نشده و بسیاری از سیستمهای SSO مانند Apereo CAS، Jasig و Keycloak (در صورت استفاده از پلاگین CAS) در برابر آن آسیبپذیر باقی ماندهاند. طبق بررسیها، بیش از ۱۲ هزار سامانه آنلاین احتمالاً در معرض این تهدید قرار دارند.
۲. بهرهبرداری فعال از آسیبپذیری Fortinet (CVE-2024-55591)
یکی از مهمترین و نگرانکنندهترین بخشهای گزارش، مربوط به آسیبپذیری بحرانی CVE‑2024‑55591 در دستگاههای FortiGate و FortiProxy است.
توضیح آسیبپذیری:
این آسیبپذیری از نوع Bypass در احراز هویت بوده و به مهاجم امکان میدهد بدون نیاز به وارد کردن هیچ نام کاربری یا رمزی، به پنل مدیریتی دستگاه دسترسی پیدا کند. از آنجا میتواند:
- حساب مدیر (admin) ایجاد کند
- تنظیمات دستگاه را تغییر دهد
- اطلاعات حساس مثل credentialهای VPN یا LDAP، آدرسهای IP، پورتها و DNS را استخراج کند
وضعیت فعلی:
با وجود اینکه Fortinet در ژانویه ۲۰۲۵ پچ رسمی برای این نقص منتشر کرده است (در نسخههای FortiOS 7.0.17+ و FortiProxy 7.0.20+)، ابزار exploit برای این باگ همچنان در دارکوب با قیمت حدود ۲۵۰۰ دلار فروخته میشود و بهصورت فعال در حملات واقعی مورد استفاده قرار گرفته است.
آمار حملات (بر اساس منابع متعدد):
- طبق گزارش CrowdSec، روزانه تا ۹۰۰ حمله مبتنی بر این آسیبپذیری شناسایی شده است
- بیش از ۴۸,۰۰۰ دستگاه Fortinet در اینترنت هنوز بهروز نشدهاند و آسیبپذیر هستند
- آدرسهای IP مهاجم منحصربهفرد تا ۸۰ عدد در روز گزارش شدهاند
- طبق تحلیل Truesec و LetsDefend، برخی حملات موفق توانستهاند دسترسی ادمین کامل روی دستگاههای FortiGate بهدست آورند
نسخههای آسیبپذیر:
FortiOS: از نسخه 7.0.0 تا 7.0.16
FortiProxy: از نسخه 7.0.0 تا 7.0.19 و نسخههای 7.2.0 تا 7.2.12
توصیههای امنیتی:
- بهروزرسانی فوری: ارتقا به FortiOS 7.0.17+ و FortiProxy 7.0.20+
- محدودسازی رابط مدیریتی: استفاده از local-in-policy برای جلوگیری از دسترسی HTTP/HTTPS از بیرون
- بررسی لاگها: شناسایی ورودهای مشکوک، ساخت حسابهای ناشناس و تغییرات در تنظیمات
- غیرفعالسازی مدیریت عمومی اینترنتی: جلوگیری از دسترسی به پورتهای مدیریت از طریق اینترنت، توصیهشده توسط NHS، Picus، Trustwave و دیگر منابع
۳. افشای دادههای بیمه از Allianz اسپانیا
در ادامه این گزارش، یک پایگاه داده حاوی اطلاعات بیش از ۴.۶ میلیون رکورد بیمهای از شرکت Allianz Seguros اسپانیا در دارکوب برای فروش گذاشته شده است. اطلاعات شامل موارد زیر است:
- نام و نام خانوادگی
- آدرس
- شماره تماس
- شماره شناسایی ملی (NIF)
- شماره بیمه
هکرها مدعی شدهاند این نشت اطلاعات در تاریخ ۱۹ ژوئن ۲۰۲۵ انجام شده و دادهها بهصورت کامل در اختیار آنهاست.
۴. سرویس حذف اکانت شبکههای اجتماعی (Ban Service)
در دارکوب، سرویسی تحت عنوان Ban Service در حال تبلیغ است که ادعا میکند میتواند حسابهای کاربران را در شبکههای اجتماعی مختلف حذف یا تعلیق کند. این سرویس پلتفرمهایی مانند:
- Facebook
- Instagram
- WhatsApp
- Twitter (X)
- LinkedIn
- Reddit
- VK
- Snapchat
را پوشش میدهد. گردانندگان این سرویس مدعی هستند که در صورت عدم موفقیت، وجه مشتری را بازمیگردانند و تاکنون بیش از ۲۰۰ مشتری رضایتمند داشتهاند.
جمعبندی نهایی
این گزارش نشان میدهد که تهدیدات سایبری روزبهروز پیچیدهتر شدهاند و سازمانها باید به صورت پیوسته نسبت به بروزرسانی امنیتی، محدودسازی دسترسیها، رصد لاگها و آموزش کاربران اقدام کنند.
برای شرکتهایی که از Fortinet استفاده میکنند، بهویژه FortiGate و FortiProxy، اجرای سریع پچ و بررسی دقیق امنیت دستگاهها کاملاً حیاتی است.
در صورت نیاز به راهنمایی فنی برای اعمال آپدیت، بررسی لاگها، یا نوشتن policy امنیتی، خوشحال میشوم همراهتان باشم.
