مهاجمان توانستهاند Fortinet Wireless Manager را هدف قرار دهند و نشستهای ادمینهای سیستم را به تصرف خود درآورند. این ابزار مدیریت شبکه برای ماهها در معرض این آسیبپذیری بوده است. ادمینهایی که با استفاده از Fortinet Wireless Manager (یا FortiWLM) شبکههای خود را مدیریت میکنند، باید اطمینان حاصل کنند که نسخههای نصبشده نرمافزارشان بهروزرسانی شده و از حملات احتمالی در امان هستند.
ماجرا از آنجا شروع شد که یک محقق امنیتی از تیم Horizon3 در ماه مه ۲۰۲۳ (اردیبهشت ۱۴۰۲) این آسیبپذیری را به شرکت Fortinet گزارش کرد. با این حال، این شرکت تا سپتامبر همان سال (شهریور ۱۴۰۲) اقدام به ارائه یک پچ امنیتی نکرد. نکته جالبتر اینجاست که حتی پس از ارائه این پچ، Fortinet تا همین حالا اطلاعات دقیقی درباره وجود این آسیبپذیری و انتشار پچ امنیتی مربوطه فاش نکرده بود.
جزئیات تهدید
این آسیبپذیری که بهعنوان “بحرانی” طبقهبندی شده است و با نام CVE-2023-34990 شناخته میشود، برای اولین بار در یک پست وبلاگی توسط همان محقق امنیتی در مارس ۲۰۲۳ (اسفند ۱۴۰۱) مطرح شد. اما در آن زمان هنوز شماره CVE رسمی برای آن ثبت نشده بود.
مشکل اصلی اینجاست که در این نرمافزار، ورودیهای کاربران بهطور کافی بررسی نمیشد. این ضعف باعث میشد که مهاجمان بتوانند بدون نیاز به احراز هویت، درخواستهایی را برای سوءاستفاده از این آسیبپذیری ارسال کنند. اگر این حملات با موفقیت اجرا میشد، مهاجمان میتوانستند به لاگهای سیستم دسترسی پیدا کنند. این لاگها ممکن است حاوی اطلاعات حساس، از جمله شناسههای نشست ادمینها (Admin Session IDs) باشد. با دسترسی به این اطلاعات، مهاجمان میتوانستند کنترل کامل دستگاهها و در نهایت کل شبکه را بهدست آورند.
نادیدهگرفته شدن آسیبپذیری
Fortinet سرانجام در یک اطلاعیه هشداردهنده اعلام کرد که این آسیبپذیری نسخههای ۸.۵.۰ تا ۸.۵.۴ و ۸.۶.۰ تا ۸.۶.۵ از نرمافزار FortiWLM را تحت تأثیر قرار میدهد. طبق اعلام این شرکت، نسخههای ۸.۵.۵ و ۸.۶.۶ که در سپتامبر ۲۰۲۳ منتشر شدهاند، این مشکل را برطرف کردهاند و از لحاظ امنیتی امن هستند.
اما موضوعی که باعث انتقادات گسترده شده، این است که چرا Fortinet به مدت طولانی سکوت کرده و هیچ هشداری به کاربران خود نداده است. FortiWLM بهعنوان یک ابزار مدیریت شبکه در محیطهای سازمانی، هدف بسیار جذابی برای مهاجمان بهشمار میرود، چرا که میتواند به آنها کمک کند تا کنترل شبکههای شرکتها را بهدست آورند. با توجه به این اهمیت، سکوت Fortinet در اطلاعرسانی به کاربران، بسیار غیرمسئولانه به نظر میرسد.
این سکوت باعث شده تا بسیاری از ادمینها که از وجود چنین مشکلی بیخبر بودهاند، همچنان از نسخههای آسیبپذیر نرمافزار استفاده کنند. نکته تأسفبار دیگر این است که هنوز مشخص نیست آیا حملاتی بر اساس این آسیبپذیری صورت گرفته است یا خیر. Fortinet نهتنها گزارشی درباره وقوع حملات ارائه نکرده، بلکه حتی اطلاعاتی به کاربران نداده است که چطور میتوانند بررسی کنند آیا شبکههایشان پیشتر هدف حمله قرار گرفتهاند یا خیر.
به همین دلیل، کارشناسان امنیتی توصیه میکنند که ادمینهای سیستم هرچه سریعتر نسخه نرمافزار FortiWLM خود را بررسی کرده و در صورت استفاده از نسخههای آسیبپذیر، آن را بهروزرسانی کنند. با این حال، این حادثه بار دیگر ضعف در اطلاعرسانی و مدیریت بحران برخی شرکتهای بزرگ را به نمایش گذاشته و لزوم نظارت بیشتر روی فرآیندهای امنیتی آنها را برجسته کرده است.
