آسیب پذیری نزدیک به 70 درصد از فایروال های فورتی گیت

به گزارش کارگروه امنیت خبرگزاری سایبربان، نگرانی‌ها در مورد این آسیب پذیری که به‌عنوان CVE-2023-27997 نام گذاری شده است، ماه گذشته به دلیل استفاده گسترده از محصول اس اس ال-وی پی ان فورتی نت (SSL-VPN Fortinet) در بین سازمان‌های دولتی افزایش می یابد.

شرکت فورتی نت در ماه ژوئن بروز رسانی برای این باگ منتشر می کند که دارای امتیاز شدت «بحرانی» 9.8 از 10 بوده و توسط محققان آسیب‌پذیری امنیتی شرکت لکسفو (Lexfo) کشف می شود.

فورتی نت می گوید که این موضوع ممکن است در موارد محدودی مورد سوء استفاده قرار گرفته باشد و همچنین خاطرنشان می کند که این کمپین هک، دولت، تولید و زیرساخت های حیاتی را هدف قرار داده است.

اما این آخر هفته، زمانی که محققان شرکت امنیتی بیشاپ فاکس (Bishop Fox) اعلام کردند که به صورت داخلی، یک اکسپلویت برای CVE-2023-27997 ایجاد کرده اند، نگرانی ها دوباره شعله ور شد.

490 هزار رابط اس اس ال-وی پی ان تحت تأثیر قرار گرفته در اینترنت وجود دارد و تقریباً 69٪ از آنها در حال حاضر اصلاح نشده هستند.

این اکسپلویت تقریباً در یک ثانیه اجرا می‌شود، که به طور قابل توجهی سریع‌تر از ویدیوی آزمایشی روی یک دستگاه 64 بیتی است که توسط لکسفو نشان داده شده است.

با استفاده از محاسبات محققان، بیش از 335 هزار مورد در حال حاضر در برابر این موضوع آسیب پذیر هستند.

کارشناسان بیشاپ فاکس همچنین نسبت به ده‌ها نمونه اصلاح‌نشده که نسخه‌های قدیمی را اجرا می‌کنند، ابراز نگرانی می کنند که ده‌ها مورد آن سال‌ها پیش به پایان عمر خود رسیده‌اند.

چندین کارشناس امنیت سایبری هشدار بیشاپ فاکس را در مورد این موضوع تکرار کرده و توضیح می دهند که نیاز به بروزرسانی، یک مشکل فوری است.

تیموتی موریس، مشاور ارشد امنیتی شرکت تانیوم (Tanium) می گوید که جدی بودن این موضوع را با توجه به اینکه کد اکسپلویت اکنون وجود دارد و دستگاه‌هایی که در قلب مشکل قرار دارند، معمولاً در محیط یک سازمان هستند، نمی‌توان دست کم گرفت.

او خاطرنشان می کند که بسیاری از سازمان‌ها دارای سیستم‌های اضافی هستند که به عنوان قطعات یدکی در حال اجرا هستند، به این معنی که به احتمال زیاد چندین مورد نیاز به اصلاح در هر یک از شرکت‌ها دارند.

این یکی از نمونه هایی است که در آن رتبه بندی سی وی اس (CVS) شبیه مقیاس ریشتر است.

اندرو بارات، معاون شرکت امنیت سایبری کول فایر (Coalfire) می گوید:

اجرای کد از راه دور در یک دستگاه امنیتی، اتفاقی تقریباً بد است.

این دستگاه‌ها هر دو درهای شبکه هستند و حجم زیادی از دستگاه‌هایی که هنوز آسیب‌پذیر هستند احتمالاً به دلیل ناتوانی در آفلاین کردن این فایروال‌ها و آزمایش وصله، دارای تأثیرات مرتبط بر تجارت است.

دیگر کارشناسان امنیت سایبری، از جمله مدیر اطلاعات تهدید شرکت آنتینیو (Ontinue)، آندره ون در والت، می افزایند که در سال‌های اخیر، چندین آسیب‌پذیری برجسته فورتی گیت کشف و مورد سوء استفاده قرار گرفته است.

این نگرانی وجود دارد که هکرهای چینی، به عنوان بخشی از گروه هکری وولت تایفون (Volt Typhoon)، در جریان حمله به شبکه مخابراتی گوام، یک قلمرو ایالات متحده در اقیانوس آرام، از این باگ سوء استفاده کرده باشند.

فورتی نت شایعاتی مبنی بر دست داشتن CVE-2023-27997 در این مورد را رد می کند، اما می گوید که دور از انتظار نیست که همه عوامل تهدید، از جمله کسانی که پشت کمپین وولت تایفون هستند، به سوء استفاده از آسیب‌پذیری‌های اصلاح نشده در نرم‌افزارها و دستگاه‌های پرکاربرد ادامه دهند.

ون در والت می گوید که CVE-2023-27997 می تواند منجر به سرقت داده ها، حملات باج افزاری و سایر عواقب جدی شود.

او خاطرنشان می کند که یافته‌های بیشاپ فاکس، منعکس‌کننده روند کلی وصله‌سازی است که به طور قابل‌توجهی از پرداختن به موارد افشای جدید در سطح حمله، صرف‌نظر از فناوری مورد بحث، عقب مانده است.