התרעת סייבר דחופה: טכניקת התמדה חדשה בתוקפים – Fortinet, אפריל 2025התרעת סייבר דחופה: טכניקת התמדה חדשה לתוקפים – Fortinet, אפריל 2025
רקע
ב-11 באפריל 2025, פרסמה חברת Fortinet התרעת סייבר דחופה בעקבות גילוי טכניקה חדשה של תוקפים שמנצלים פגיעויות קיימות בציוד Fortinet לצורך שמירה על נוכחות ממושכת ברשת הארגונית גם לאחר שהתקיפה בוצעה.
🧠 מהות התקיפה
התוקפים ניצלו פגיעויות ידועות במכשירי FortiGate כדי לחדור למערכות. לאחר סגירת הפגיעות על ידי הארגון, התוקפים הצליחו לשמר גישה באמצעות יצירת קישור סמלי (symbolic link) בין מערכת הקבצים של המשתמש לבין מערכת הקבצים הראשית. הקישור הסמלי הוטמע בתיקיית שפת ה-SSL-VPN, מה שאיפשר לתוקפים לשמור על גישה לקריאת קבצים, כולל קבצי קונפיגורציה, גם לאחר עדכון המערכת.
🔍 טכניקות התוקפים
- ניצול פגיעויות ידועות: התוקפים השתמשו בפגיעויות קיימות במכשירי FortiGate כדי לחדור למערכות.
- יצירת קישור סמלי: לאחר החדירה, נוצר קישור סמלי בין מערכת הקבצים של המשתמש למערכת הקבצים הראשית, מה שאיפשר גישה מתמשכת לקבצים קריטיים.
- הסתרת הפעילות: הקישור הסמלי הוטמע בתיקיית שפת ה-SSL-VPN, מה שהקשה על זיהוי הפעילות הזדונית.
🛡️ המלצות לפעולה
- עדכון גרסאות FortiOS: יש לעדכן לגרסאות האחרונות של FortiOS (7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16) הכוללות תיקונים להסרת הקישור הסמלי.
- הפעלת מנועי AV/IPS: הפעלת מנועי אנטי-וירוס ומניעת חדירות תסייע בזיהוי והסרת הקישור הסמלי.
- בדיקת קבצי מערכת: יש לבדוק את תיקיית שפת ה-SSL-VPN לאיתור קישורים סימבוליים חשודים.
- הגבלת גישה ל-SSL-VPN: אם השירות אינו בשימוש, מומלץ להשביתו או להגביל את הגישה אליו.
📋 סיכום
התקיפה מדגישה את החשיבות בעדכון שוטף של מערכות, ניטור קבצי מערכת והפעלת מנגנוני אבטחה מתקדמים. ארגונים המשתמשים בציוד Fortinet מתבקשים לפעול בהתאם להמלצות כדי למנוע גישה לא מורשית למערכותיהם.
למידע נוסף ולעיון בדוח המלא, קראו את המקור: 🔗 Fortinet PSIRT Blog – Analysis of Threat Actor Activity
✍️ מאת צוות Prodigy
בבלוג שלנו נפרסם התרעות נוספות, ניתוחי תקריות אבטחה, וטיפים לניהול נכון של תשתיות וציוד רגיש.