أشباح في جدار الحماية: كيف يعيد القراصنة إحياء ثغرة عمرها خمس سنوات في Fortinet

ثغرة مستمرة في نظام FortiOS من Fortinet تعود للظهور مجددًا، حيث يستغل المهاجمون الشقوق القديمة في حملات جديدة - مما يعرض شبكات VPN وحسابات المسؤولين للخطر.

إنه ما يعادل في الأمن السيبراني العثور على باب غير مقفل في قلعة يُفترض أنها محصنة: ثغرة كان يُعتقد منذ زمن طويل أنها أُصلحت، تعود الآن إلى دائرة الضوء بينما يستهدف القراصنة المؤسسات التي لم يصلها التحذير. شركة Fortinet، إحدى الشركات الكبرى في مجال أمن الشبكات، تطلق الإنذار - مرة أخرى - بشأن ثغرة تعود لعام 2020 في نظام التشغيل الرئيسي FortiOS. المفاجأة؟ المهاجمون يتجاوزون المصادقة الثنائية (2FA) ليس عبر استغلالات متطورة، بل ببساطة عن طريق تغيير حالة الأحرف في اسم المستخدم.

تشريح ثغرة منسية

الثغرة، المسجلة تحت CVE-2020-12812، متجذرة في تناقض بسيط لكنه خطير. بينما تتعامل جدران FortiGate مع أسماء المستخدمين على أنها حساسة لحالة الأحرف بشكل افتراضي، فإن أدلة LDAP - التي تشكل العمود الفقري لأنظمة المصادقة في العديد من المؤسسات - لا تفعل ذلك. هذا يعني أن "jsmith" و"JSmith" متساويان بالنسبة لـLDAP، لكنهما مختلفان بالنسبة لـFortiGate.

عندما يتم تفعيل المصادقة الثنائية وتتم إدارة حسابات المستخدمين من خلال كل من إدخالات FortiGate المحلية ومجموعات LDAP، يمكن للمهاجم تسجيل الدخول ببساطة عن طريق تغيير حالة الأحرف في اسم المستخدم. النتيجة: يتجاوز FortiOS خطوة المصادقة الثانية، ويمنح الوصول كما لو تم إكمالها. هذا الخداع الدقيق استُغل من قبل مشغلي برامج الفدية وحتى قراصنة ترعاهم دول، حيث يمكنهم تجاوز الضوابط الأمنية دون إطلاق أي إنذارات.

من المعرض للخطر - ولماذا؟

ليس كل عملاء Fortinet معرضين للخطر. يتطلب الهجوم إعدادًا محددًا: حسابات مستخدمين محلية مع تفعيل المصادقة الثنائية، مرتبطة بمجموعات LDAP يتم الرجوع إليها في سياسات المصادقة للوصول الحساس - مثل شبكات VPN أو لوحات تحكم المسؤولين. إذا وُجدت مجموعة LDAP ثانوية تم تكوينها بشكل خاطئ، يزداد الخطر. توضح نصيحة Fortinet الأخيرة: إذا كنت ضمن هذا التصنيف ولم تقم بالتحديث منذ منتصف 2020، فقد تكون أنظمتك مخترقة بالفعل.

الوقاية والاستجابة

الحل مباشر لكنه عاجل. قامت Fortinet بإصلاح الثغرة في إصدارات FortiOS 6.0.10 و6.2.4 و6.4.1 - ومع ذلك لا تزال العديد من المؤسسات متأخرة في التحديثات. يُوصى أيضًا بتعطيل حساسية حالة الأحرف في مطابقة أسماء المستخدمين وإزالة مجموعات LDAP غير الضرورية. إذا كنت تشك في وجود استغلال، تحث Fortinet على إعادة تعيين جميع بيانات الاعتماد، بما في ذلك حسابات الربط مع LDAP/Active Directory.

الخلاصة: ثغرات قديمة، اختراقات جديدة

هذا الحادث تذكير صارخ: في الأمن السيبراني، ثغرات الأمس تصبح عناوين أخبار الغد إذا لم يتم التعامل معها. مع إعادة تدوير الجهات المهددة للثغرات المنسية، يزداد ثمن إهمال التحديثات الدورية ومراجعة الإعدادات. بالنسبة للمدافعين، الدرس واضح - ما هو قديم لا يختفي أبدًا حقًا، وحتى أصغر هفوة قد تفتح الأبواب أمام اختراق كبير.

ويكيكروك

المصادقة الثنائية (2FA): المصادقة الثنائية هي طريقة أمان تتطلب نوعين مختلفين من التعريف للوصول إلى الحساب، مما يصعب اختراقه.
LDAP (بروتوكول الوصول الخفيف للدليل): LDAP هو بروتوكول للوصول وإدارة خدمات الدليل، ويُستخدم عادة للمصادقة وإدارة المستخدمين المركزية في المؤسسات.
FortiGate: FortiGate هو خط أجهزة الأمان من Fortinet، ويوفر جدار حماية وشبكات VPN وإدارة موحدة للتهديدات لحماية شبكات المؤسسات بقوة.
ثغرة (CVE): الثغرة (CVE) هي عيب أمني مدرج علنًا في البرمجيات أو الأجهزة يمكن للمهاجمين استغلاله إذا لم يتم إصلاحه.
برمجيات الفدية: برمجيات الفدية هي برامج خبيثة تقوم بتشفير أو قفل البيانات، وتطالب الضحايا بدفع فدية لاستعادة الوصول إلى ملفاتهم أو أنظمتهم.