FortiBleed Hits 86644 FortiGate Devices
در روزهای اخیر نام FortiBleed در گزارشهای امنیتی و رسانههای فناوری مطرح شده است؛ نامی که برای توصیف یک کمپین گسترده جمعآوری و سوءاستفاده از Credentialهای مربوط به Fortinet FortiGate و VPN Gatewayها استفاده میشود.
اهمیت این خبر در این است که موضوع فقط درباره یک رمز عبور ضعیف یا یک تلاش ناموفق برای ورود نیست. طبق گزارشهای منتشرشده، مهاجمان تلاش کردهاند از دادههای قدیمی، Credentialهای افشاشده، Brute Force و Credential Stuffing برای ورود به تجهیزات Fortinet متصل به اینترنت استفاده کنند.
Fortinet اعلام کرده این فعالیت مخرب به یک حادثه یا Advisory جدید نسبت داده نشده و بیشتر با استفاده دوباره از دادههای قبلی و حملات مبتنی بر Credential مرتبط است. با این حال، برای سازمانهایی که FortiGate یا SSL VPN اینترنتی دارند، موضوع باید جدی و در سطح یک رخداد امنیتی بررسی شود.
مروری بر این خبر
FortiBleed نامی است که در گزارشهای امنیتی برای یک کمپین Credential-harvesting علیه تجهیزات Fortinet، بهویژه FortiGate Firewall و VPN Gatewayها، مطرح شده است. در این سناریو، مهاجم بهجای تکیه صرف بر Exploit جدید، روی دسترسیهای معتبر تمرکز میکند؛ یعنی نام کاربری و رمز عبوری که ممکن است از رخدادهای قبلی، دیتابیسهای افشاشده، استفاده مجدد از رمزها یا حملات Brute Force به دست آمده باشد.
در عمل، چنین حملهای میتواند از یک Login ساده شروع شود؛ اما اگر حساب موردنظر دسترسی مدیریتی یا VPN داشته باشد، نتیجه آن میتواند بسیار جدیتر از یک تلاش ناموفق باشد. FortiGate معمولاً در مرز شبکه قرار دارد و دسترسی VPN، ارتباط شعب، دسترسی پیمانکاران و مسیرهای مدیریتی از همین نقطه عبور میکنند.
بر اساس گزارش Reuters، Fortinet اعلام کرده که از یک کمپین Credential-harvesting علیه Firewall و VPNهای خود آگاه است و مهاجمان از دادههای مربوط به رخدادهای قبلی و Brute Force برای تست Credentialها استفاده میکنند. Fortinet همچنین گفته این فعالیت مخرب به یک Incident یا Advisory جدید مرتبط نیست.
این موضع از نظر خبری مهم است، چون نشان میدهد موضوع فعلاً بهعنوان یک CVE جدید یا آسیبپذیری تازه در Fortinet معرفی نشده است. اما از نظر عملیاتی، ریسک همچنان بالاست؛ چون مهاجم برای ورود به شبکه همیشه به Zero-day نیاز ندارد. گاهی یک Credential معتبر، نبود MFA و باز بودن Management Interface روی اینترنت کافی است.
FortiGate فقط یک فایروال ساده نیست؛ در بسیاری از سازمانها نقش دروازه ورود کاربران VPN، مسیر ارتباط شعب، کنترل دسترسی پیمانکاران، تفکیک شبکه و مدیریت ترافیک حیاتی را دارد. اگر مهاجم به حساب معتبر VPN یا Administrator دسترسی پیدا کند، میتواند از همان مسیر قانونی وارد شبکه شود.
ریسکهای اصلی شامل موارد زیر است:
بنابراین برخورد درست با این خبر، فقط تغییر یک رمز عبور نیست. سازمان باید بررسی کند آیا ورود موفق، تغییر Configuration، حساب جدید یا رفتار غیرعادی در لاگها دیده میشود یا نه.
هر سازمانی که از Fortinet FortiGate یا SSL VPN استفاده میکند باید وضعیت خود را بررسی کند؛ اما گروههای زیر ریسک بالاتری دارند:
| وضعیت سازمان | دلیل افزایش ریسک |
|---|---|
| Management Interface روی اینترنت باز است | مهاجم میتواند مستقیماً صفحه Login مدیریتی را هدف بگیرد. |
| SSL VPN بدون MFA استفاده میشود | رمز افشاشده یا حدسزدهشده میتواند به Login موفق منجر شود. |
| رمزها مدت طولانی Rotate نشدهاند | Credentialهای قدیمی ممکن است هنوز روی دستگاه معتبر باشند. |
| حساب Shared Admin یا پیمانکار فعال است | ردیابی مالک واقعی Login دشوار میشود و ریسک سوءاستفاده بالا میرود. |
| لاگها به FortiAnalyzer یا SIEM ارسال نمیشوند | تشخیص Login مشکوک یا تغییرات Configuration سختتر میشود. |
اگر FortiGate یا SSL VPN شما از اینترنت قابل دسترس است، بهتر است موضوع را بهعنوان یک Credential Incident بررسی کنید. اقدامات فوری پیشنهادی عبارتاند از:
یکی از نکات فنی مرتبط با این خبر، نحوه ذخیره رمزهای Administrator در FortiOS است. Fortinet در FortiOS 7.6.1 اعلام کرده که برای ذخیره رمزهای System Administrator از PBKDF2 با Salt تصادفی استفاده میشود؛ روشی که نسبت به Hashهای سادهتر در برابر Brute Force آفلاین مقاومتر است.
طبق مستندات Fortinet، پشتیبانی از PBKDF2 برای رمزهای Administrator در شاخههای FortiOS از نسخههای 7.2.11، 7.4.8 و 7.6.1 مطرح شده است. با این حال، Upgrade به نسخه جدید بهتنهایی نباید جایگزین Reset رمز، بررسی حسابها و فعالسازی MFA شود.
برای بررسی وضعیت حسابهای Administrator میتوان خروجی تنظیمات Admin را مشاهده کرد و به Prefixهای مربوط به Hash توجه داشت:
show system admin
در نسخههای جدیدتر، رمزهایی که با PBKDF2 ذخیره شدهاند معمولاً با Prefix زیر دیده میشوند:
ENC PB2
رمزهای قدیمیتر ممکن است با Prefix زیر دیده شوند:
ENC SH2
| مورد بررسی | اقدام پیشنهادی |
|---|---|
| دسترسی مدیریتی | HTTPS/SSH Management از اینترنت حذف یا با Trusted Host و Local-in Policy محدود شود. |
| SSL VPN | Sessionهای فعال و Loginهای غیرعادی بررسی شوند و MFA اجباری شود. |
| حسابهای Administrator | حسابهای غیرضروری حذف و رمز همه Adminها Reset شود. |
| رمزهای قدیمی | Credential Rotation برای VPN، Admin و حسابهای پیمانکار انجام شود. |
| PBKDF2 | پس از Upgrade، وضعیت Hash رمزهای Administrator بررسی شود. |
| لاگها | Admin Login، VPN Login، Failed Login و Configuration Change در FortiGate، FortiAnalyzer یا SIEM بررسی شود. |
| Configuration | Policy، Route، Object، VPN، Local-in Policy و Admin Accountها با Backup سالم مقایسه شوند. |
FortiBleed نشان میدهد که امنیت تجهیزات Edge فقط به Patch کردن Firmware وابسته نیست. حتی اگر آسیبپذیری جدیدی وجود نداشته باشد، Credential معتبر میتواند مسیر ورود مهاجم به VPN، پنل مدیریتی و در نهایت شبکه داخلی باشد.
برای سازمانهایی که از FortiGate یا SSL VPN استفاده میکنند، مهمترین اقدام این است که موضوع را از زاویه Credential Incident ببینند: Sessionها را بررسی کنند، رمزها را Reset کنند، MFA را اجباری کنند، Management Interface را از اینترنت حذف کنند و لاگها را برای هرگونه Login یا تغییر مشکوک بررسی کنند.
در نهایت، FortiGate فقط زمانی نقش دفاعی مؤثر دارد که خودش هم درست Hardening، مانیتور و Audit شود. اگر فایروال مرزی با Credential ضعیف، حساب قدیمی یا Management باز روی اینترنت رها شود، همان تجهیز امنیتی میتواند به نقطه شروع حمله تبدیل شود.