حملات سایبری جهانی علیه Fortinet SSL VPN؛ زنگ خطری برای آسیب‌پذیری‌های Zero-Day

در روزهای اخیر موج گسترده‌ای از حملات سایبری علیه زیرساخت‌های امنیتی مبتنی بر SSL VPN شرکت فورتینت شناسایی شده است. این حملات با تکنیک بروت‌فورس انجام گرفته و هدف اصلی آن نفوذ به حساب‌های کاربری و دسترسی به سامانه‌های حساس سازمان‌ها بوده است. بررسی‌ها نشان می‌دهد که صدها نشانی IP یکتا از کشورهای مختلف در این حملات مشارکت داشته‌اند و حملات به‌طور خاص و هدفمند بر روی سرویس‌های VPN فورتینت متمرکز شده‌اند. برخلاف بسیاری از حملات فرصت‌طلبانه، این فعالیت‌ها با تمرکز دقیق بر روی دستگاه‌های FortiOS صورت گرفته و بیانگر وجود یک کمپین سازمان‌یافته و هدفمند است.

در نخستین موج این فعالیت‌ها، بیش از ۷۸۰ نشانی IP به‌طور هم‌زمان اقدام به ارسال درخواست‌های مخرب به سمت سرویس‌های VPN کردند. تنها طی ۲۴ ساعت بعد از شروع این موج، ۵۶ نشانی IP جدید نیز به لیست منابع مهاجم افزوده شد. توزیع جغرافیایی این حملات بسیار گسترده بوده و شامل کشورهایی مانند ایالات متحده، کانادا، روسیه و هلند در بخش مبدأ و کشورهایی نظیر آمریکا، برزیل، هنگ‌کنگ، اسپانیا و ژاپن در بخش هدف قرار گرفتن بوده است. این موضوع نشان‌دهنده وسعت جهانی عملیات و استفاده از زیرساخت‌های توزیع‌شده برای افزایش کارایی حمله است.

ویژگی قابل‌توجه در این کمپین، تغییر الگوی حمله در روزهای بعد است. در حالی که موج اولیه صرفاً متوجه VPNهای SSL بود، در موج دوم که از تاریخ ۵ آگوست آغاز شد، مهاجمان تمرکز خود را به سمت سرویس مدیریت متمرکز فورتینت یعنی FortiManager تغییر دادند. بررسی‌های دقیق نشان می‌دهد که در این موج از امضای TCP متفاوتی استفاده شده که بیانگر تغییر ابزار یا تاکتیک مهاجمان است. این تغییر مسیر از VPN به FortiManager می‌تواند نشانه‌ای از تلاش برای دسترسی به لایه‌های عمیق‌تر مدیریت زیرساخت‌ها باشد؛ موضوعی که در صورت موفقیت، پیامدهای بسیار جدی برای سازمان‌ها خواهد داشت.

تحلیل داده‌های تاریخی نشان می‌دهد که ردپای برخی از امضاهای مورد استفاده در این حملات حتی پیش‌تر در ماه ژوئن نیز مشاهده شده است. این نشانه‌ها متعلق به یک دستگاه FortiGate متصل به یک ISP خانگی بوده است. چنین موضوعی می‌تواند به معنای آزمایش اولیه ابزار یا استفاده از یک نقطه عبور خانگی برای اجرای حمله باشد، هرچند به‌تنهایی اثبات قطعی محسوب نمی‌شود. با این وجود، وجود چنین سابقه‌ای نشان می‌دهد که مهاجمان مدت‌ها پیش از اجرای کمپین اصلی، در حال آماده‌سازی و آزمایش بوده‌اند.

یکی از نکات مهمی که در تحلیل‌های امنیتی به‌دست آمده، ارتباط بین چنین حملات گسترده‌ای با کشف آسیب‌پذیری‌های روز صفر (zero-day) است. بر اساس بررسی‌های آماری، در ۸۰ درصد موارد مشابه که موج حملات هماهنگ و هدفمند به‌وقوع پیوسته است، در بازه زمانی شش هفته پس از آن، آسیب‌پذیری‌های امنیتی مهم و جدید در همان محصولات افشا شده‌اند. این الگو نگرانی‌ها را نسبت به احتمال وجود یک ضعف ناشناخته در سرویس‌های Fortinet افزایش داده است و کارشناسان امنیتی معتقدند باید این تهدید را به‌عنوان نشانه‌ای از احتمال بروز آسیب‌پذیری روز صفر جدی گرفت.

با توجه به روند رو به رشد این حملات، توصیه می‌شود مدیران سیستم‌ها و کارشناسان امنیت سایبری اقداماتی فوری را برای کاهش ریسک انجام دهند. مهم‌ترین این اقدامات شامل مسدود کردن نشانی‌های IP شناسایی‌شده، تقویت سیاست‌های امنیتی مربوط به ورود کاربران، فعال‌سازی مکانیزم‌های احراز هویت چندمرحله‌ای، محدودسازی دسترسی به سرویس‌های VPN و FortiManager تنها از طریق شبکه‌های امن و همچنین بررسی مداوم لاگ‌ها برای شناسایی رفتارهای مشکوک است. علاوه بر این، پیشنهاد می‌شود سازمان‌ها به‌طور مستمر سامانه‌های خود را به‌روزرسانی کنند و در صورت انتشار وصله امنیتی، بدون تأخیر آن را اعمال نمایند.

این موج گسترده حملات سایبری بار دیگر نشان می‌دهد که سرویس‌های VPN و به‌ویژه تجهیزات فورتینت که در بسیاری از سازمان‌ها نقش حیاتی در امنیت ارتباطات از راه دور دارند، یکی از اهداف اصلی مهاجمان سایبری هستند. با توجه به احتمال بالای ظهور آسیب‌پذیری‌های جدید در آینده نزدیک، سازمان‌ها باید با هوشیاری کامل، استراتژی‌های دفاعی خود را بازبینی کرده و آمادگی مقابله با سناریوهای مختلف تهدید را داشته باشند. بی‌توجهی به این نشانه‌ها می‌تواند راه را برای نفوذ مهاجمان هموار کرده و خسارات جدی مالی و اعتباری برای سازمان‌ها به همراه داشته باشد.