ایسوس ثابت‌افزار جدیدی با به‌روزرسانی‌های امنیتی منتشر کرده است که آسیب‌‌پذیری‌هایی را در مدل‌های چند مسیریاب برطرف می‌کند و به مشتریان هشدار می‌دهد که فوراً دستگاه‌های خود را به‌‌روزرسانی کرده یا دسترسی WAN را تا زمانی که ایمن نشده‌اند محدود کنند. همان‌طور که این شرکت توضیح می‌دهد، ثابت‌افزار جدید منتشرشده حاوی اصلاحاتی برای 9 نقص امنیتی، ازجمله موارد با شدت «بالا» و «بحرانی» است.
شدیدترین آن‌ها به‌عنوان CVE-2022-26376 و CVE-2018-1160 ردیابی می‌شوند. اولین مورد، ضعف بحرانی خرابی حافظه در ثابت‌افزار Asuswrt برای روترهای ایسوس است که می‌تواند به مهاجمان اجازه دهد وضعیت‌های انکار سرویس را راه‌اندازی کنند یا امکان اجرای کد را به دست آورند. قسمت مهم دیگر مربوط به یک باگ تقریباً پنج ساله CVE-2018-1160 است که ناشی از ضعف نوشتن خارج از محدوده Netatalk است که همچنین می‌تواند برای اجرای کد دلخواه در دستگاه‌های patch نشده مورد سوءاستفاده قرار گیرد. ایسوس در یک توصیه امنیتی که امروز منتشر شد هشدار داد: «لطفاً توجه داشته باشید، اگر تصمیم به نصب نکردن این نسخه سخت‌افزار جدید دارید، ما قویاً توصیه می‌کنیم سرویس‌های قابل دسترسی از سمت WAN را غیرفعال کنید تا از نفوذهای ناخواسته احتمالی جلوگیری شود. این خدمات شامل دسترسی از راه دور از WAN، انتقال پورت (port forwarding)، DDNS، سرور VPN، DMZ و تریگر پورت است».
 «ما قویاً شما را تشویق می‌کنیم که به طور دوره‌ای هم تجهیزات و هم رویه‌های امنیتی‌تان را بازرسی کنید، زیرا این کار باعث می‌شود که از محافظت بهتری برخوردار شوید».
لیست دستگاه‌های تحت تأثیر شامل مدل‌های زیر است:

 GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8, V26, PRO -AX86U، RT-AX86S، RT-AX82U، RT-AX58U، RT-AX3000، TUF-AX6000 و TUF-AX5400  .

درخواست فوری patch کردن از مشتریان
ایسوس به کاربران روترهای آسیب‌دیده هشدار داد که در اسرع وقت آن‌ها را به آخرین ثابت‌افزار که از طریق وب‌سایت پشتیبانی، صفحه هر محصول یا از طریق پیوندهای ارائه شده در توصیه‌نامه امروز در دسترس است، به‌روز کنند. این شرکت همچنین ایجاد رمزهای عبور متمایز برای صفحات مدیریت شبکه بی‌‌سیم و روتر با حداقل هشت کاراکتر (ترکیب حروف بزرگ، اعداد و نمادها) و اجتناب از استفاده از رمز عبور یکسان برای چندین دستگاه یا خدمات را توصیه می‌کند.
وب‌سایت پشتیبانی همچنین اطلاعات دقیقی در مورد به‌روزرسانی سیستم‌عامل به آخرین نسخه و اقداماتی که کاربران می‌توانند برای ایمن کردن روترهای خود انجام دهند ارائه می‌دهد.  هشدار ASUS باید جدی گرفته شود، زیرا محصولات این شرکت قبلاً توسط botnetها هدف قرار گرفته‌اند.
به عنوان مثال، در ماه مارس 2022، ایسوس در مورد حملات بدافزار Cyclops Blink که چندین مدل روتر ایسوس را هدف قرار می‌دهد تا پایداری داشته باشد و از آن‌ها برای دسترسی از راه دور به شبکه‌های در معرض خطر استفاده کند، هشدار داد.
منبع:

https://www.bleepingcomputer.com/news/security/asus-urges-customers-to-patch-critical-router-vulner…

تعدادی آسیب‌پذیری امنیتی حیاتی، در پلت فرم‌های مدیریت ابری با روترهای سلولی کشف شده است که شبکه های فناوری عملیاتی(OT) را در برابر حملات خارجی قرار می‍‌‌دهند.  

آسیب‌پذیری‌ها بطور خاص در راه حل های مبتنی بر ابری بوجود آمده اند که توسط Sierra Wireless، Teltonika Networka و InHand Networks برای مدیریت و راه اندازی از راه دور ارائه می شوند. سه بردار حمله مختلف برای به خطر انداختن و تصاحب دستگاه های IIoT تحت مدیریت ابری، از طریق پلتفرم های مدیریت مبتنی برابر، با مکانیسم های ثبت دارایی ضعیف، آسیب پذیری در پیکربندی امنیتی و API  و رابط های خارجی امکان پذیر است.
بهره برداری از این آسیب پذیری ها، خطرات بالایی برای امنیت محیط های صنعتی ایجاد می کند و مهاجمان می توانند با استفاده از آنها، از لایه های امنیتی عبور کنند و به اطلاعات حساس دسترسی پیدا کنند و در شبکه های داخلی، کد از راه دور خود را اجرا کنند. همچنین، مهاجمان می توانند به دستگاه های شبکه دسترسی یافته و با تغییر تنظیمات روتر به منظور دستکاری پیکربندی هایی مانند تنظیمات  DNS و قوانین فایروال، دستگاه ها را کنترل کنند. همچنین در شرایط پرریسک تر، دستگاه های صنعتی در معرض خطر، ممکن است برای انجام حملات علیه دستگاه ها یا شبکه های دیگر استفاده شوند. 

این آسیب پذیری ها امکان اجرای کد از راه دور و کنترل کامل صدها هزار دستگاه و شبکه OT را فراهم می کنند.

سه برنامه اندروید در Google Play توسط عوامل تهدید مورد حمایت دولت برای جمع‌آوری اطلاعات از دستگاه‌های مورد نظر، مانند داده‌های موقعیت مکانی و فهرست‌های مخاطبین استفاده شده‌اند. برنامه‌های مخرب اندروید توسط Cyfirma کشف شدند که این عملیات را با اطمینان متوسط به گروه هکر هندی "DoNot" نسبت داد که با نام APT-C-35 نیز ردیابی می‌شود که حداقل از سال 2018 سازمان‌های برجسته در جنوب شرقی آسیا را هدف قرار داده است. برنامه‌های مورد استفاده در آخرین کمپین DoNot جمع‌آوری اطلاعات اولیه را انجام می‌دهند تا زمینه را برای آلودگی‌های بدافزاری خطرناک‌تر آماده کنند که به نظر می‌رسد اولین مرحله از حملات گروه تهدید باشد.

برنامه های مشکوک یافت شده توسط Cyfirma در Google Play عبارت‌اند از nSure Chat و iKHfaa VPN که هر دو از «SecurITY Industry» آپلود شده‌اند. هر دو برنامه و یک برنامه دیگر از همان ناشر که طبق Cyfirma مخرب به نظر نمی‌رسند، در Google Play در دسترس هستند.

تعداد دانلود برای همه برنامه های SecurITY Industry کم است که نشان می‌دهد آنها به طور انتخابی علیه اهداف خاص استفاده می‌شوند. این دو برنامه در حین نصب، مجوزهای خطرناکی مانند دسترسی به لیست مخاطبین کاربر (READ_CONTACTS) و اطلاعات مکان دقیق (ACCESS_FINE_LOCATION) درخواست می‌کنند تا این اطلاعات را به عامل تهدید منتقل کنند.

توجه داشته باشید که برای دسترسی به مکان هدف، GPS باید فعال باشد، در غیر این صورت، برنامه آخرین مکان شناخته شده دستگاه را واکشی می‌کند. داده‌های جمع‌آوری شده به صورت محلی با استفاده از کتابخانه ROOM اندروید ذخیره می‌شود و بعداً از طریق یک درخواست HTTP به سرور C2 مهاجم ارسال می‌شود.

C2 مورد استفاده برنامه vpn، "https[:]ikhfaavpn[.]com" است. «در مورد nSure Chat، آدرس سرور مشاهده شده سال گذشته در عملیات Cobalt Strike مشاهده شد». تحلیلگران Cyfirma دریافتند که پایه کد برنامه VPN هکرها مستقیماً از محصول قانونی Liberty VPN گرفته شده است.

انتساب این کمپین به گروه تهدید DoNot توسط Cyfirma بر اساس استفاده خاص از رشته‌های رمزگذاری شده با استفاده از الگوریتم AES/CBC/PKCS5PADDING و مبهم سازی Proguard است که هر دو تکنیک مرتبط با هکرهای هندی هستند. علاوه بر این، برخی شباهت‌ها در نام‌گذاری فایل‌های خاص تولیدشده توسط برنامه‌های مخرب وجود دارد که آنها را به کمپین‌های DoNot گذشته مرتبط می‌کند.

محققان بر این باورند که مهاجمان تاکتیک ارسال ایمیل‌های فیشینگ حاوی پیوست‌های مخرب را به نفع حملات پیام‌رسانی نیزه‌ای (هدفمند) از طریق واتس‌اپ و تلگرام کنار گذاشته‌اند. پیام‌های مستقیم در این برنامه‌ها،  قربانیان را به فروشگاه Google Play هدایت می‌کند،  یک پلتفرم قابل اعتماد که به حمله مشروعیت می‌بخشد،  بنابراین می‌توان آنها را به راحتی فریب داد تا برنامه‌های پیشنهادی را دانلود کنند.

منبع:

https://www.bleepingcomputer.com/news/security/android-spyware-camouflaged-as-vpn-chat-apps-on-google-play/

گروه 'ChamelGang' با استفاده از یک ابزار ناشناخته به نام 'ChamelDoH' دستگاه‌های لینوکس را آلوده می‌کند و امکان برقراری ارتباطات DNS-over-HTTPS با سرورهای مهاجم را فراهم می‌کند. این تهدید مخصوص ابتدا در سپتامبر سال 2021 توسط شرکت Positive Technologies مستند شده بود، اما تنها بر روی ابزارهای ویندوز تمرکز داشته است.
این بدافزار که توسط شرکت Stairwell تحت ChamelDoH نامگذاری شده است، ابزاری مبتنی بر ++C برای برقراری ارتباط از طریق تونلینگ DNS-over-HTTPS (DoH) است. ارتباط بین ChamelGang و این بدافزار لینوکس جدید بر اساس یک دامنه قبلی مرتبط با این گروه تهدیدی و یک ابزار ارتقاء دسترسی سفارشی که توسط Positive Technologies در حملات قبلی ChamelGang مشاهده شده برقرار می‌شود.

استفاده از DNS-over-HTTPS برای ارتباطات بدافزارها: 
پروتکل DNS توسط نرم‌افزارها و سیستم‌عامل‌ها برای تبدیل نام‌های قابل خواندن توسط انسان به آدرس‌های IP استفاده می‌شود که سپس برای برقراری ارتباطات شبکه مورد استفاده قرار می‌گیرند. با ارسال درخواست‌های DNS به صورت متن ساده و بدون رمزگذاری، سازمان‌ها، ارائه دهندگان خدمات اینترنت و سایر اشخاص قادر به نظارت بر درخواست‌های DNS هستند.
به عنوان یک ریسک حریم خصوصی و امکان سانسور اینترنت توسط دولت‌ها، یک پروتکل DNS جدید به نام DNS-over-HTTPS برای رمزگذاری درخواست‌های DNS ایجاد شده است تا امکان مشاهده آن‌ها توسط اشخاص دیگر وجود نداشته باشد. با این حال، این یک تیغ دو لبه است، زیرا بدافزارها می‌توانند از آن به عنوان یک کانال ارتباطی رمزگذاری شده و کارآمد استفاده کنند، که باعث می‌شود نرم‌افزارهای امنیتی به سختی بتوانند ارتباطات شبکه مخرب را نظارت کنند. در مورد ChamelDoH، استفاده از  DNS-over-HTTPS ارتباط رمزگذاری شده‌ای بین دستگاه آلوده و سرور فرمان و کنترل فراهم می‌کند، که باعث می‌شود درخواست‌های مخرب از ترافیک معمول HTTPS قابل تشخیص نباشند.
علاوه بر این، DNS-over-HTTPS می‌تواند با استفاده از سرورهای سازگار با DoH ارائه شده توسط سازمان‌های معتبر، از سرورهای DNS محلی عبور کند. اما در این مورد مشاهده‌ای انجام  نشده است. در نهایت، زیرا درخواست‌های DNS از سرورهای معتبر DoH گوگل و Cloudflare استفاده می‌کنند، مسدود کردن آن‌ها عملاً غیرممکن است بدون اینکه ترافیک معتبر را تحت تأثیر قرار دهد. ChamelDoH  با استفاده از دو کلید موجود در پیکربندی JSON خود، "ns_record" و "doh"، از نام‌های میزبان C2 و لیستی از ارائه دهندگان ابر DoH معتبر که می‌توانند برای انجام درخواست‌های DoH سوءاستفاده شوند، استفاده می‌کند. 

شکل 1پیکربندی Json

تمام ارتباطات بدافزار با استفاده از رمزنگاری AES128 و یک رمزگذاری base64 اصلاح شده که حاوی جایگزین‌هایی برای کاراکترهای غیر الفبایی-عددی است، رمزگذاری می‌شوند. سپس داده‌های ارسال شده به عنوان نام‌های میزبان به سرورهای فرمان و کنترل بدافزار اضافه می‌شوند . این تغییرات به بدافزار این امکان را می‌دهد که درخواست‌های TXT برای دامنه‌هایی که حاوی ارتباطات رمزگذاری شده سرور فرمان و کنترل (C2) است، صادر کند. این امر باعث پنهان شدن ماهیت این درخواست‌ها و کاهش احتمال تشخیص آنها می‌شود.
به عنوان مثال، هنگامی که درخواستی برای رکورد TXT صورت می‌گیرد، یک درخواست DoH از بدافزار با استفاده از <encoded_data>.ns2.spezialsec[.].com استفاده خواهد کرد. سرور مخرب که درخواست را دریافت می‌کند، سپس بخش رمزگذاری شده را استخراج و رمزگشایی کرده و داده‌های از دست رفته را از دستگاه آلوده دریافت خواهد کرد.
سرور فرمان و کنترل (C2) با یک رکورد TXT رمزگذاری شده پاسخ خواهد داد که حاوی دستوراتی است که بدافزار باید بر روی دستگاه آلوده اجرا کند.

 شکل 2 نمودار ChamelDoH  

بعد از اجرا، بدافزار اطلاعات پایه‌ای درباره میزبان خود را جمع‌آوری خواهد کرد که شامل نام، آدرس IP، معماری CPU و نسخه سیستم است، و یک شناسه منحصر به فرد ایجاد خواهد کرد.
پژوهشگران Stairwell متوجه شدند که ChamelDoH دستورات زیر را پشتیبانی می‌کند که اپراتورهای آن می‌توانند از طریق رکوردهای TXT درخواست‌های DNS-over-HTTPS به صورت راه دور صادر کنند:
•    run  : اجرای یک فایل/دستور شل
•     :sleep  تنظیم تعداد ثانیه تا زمان بررسی بعدی
•    :wget   دانلود فایل از URL
•     :upload  خواندن و بارگذاری یک فایل
•    :download   دانلود و نوشتن یک فایل
•    : rm   حذف یک فایل
•     :cp کپی کردن یک فایل به مکان جدید
•    cd : تغییر دایرکتوری کاری
تحلیل Stairwell نشان داد که ChamelDoH در دسامبر 2022 برای اولین بار در VirusTotal بارگذاری شد. در زمان نوشتن این متن، هیچ یک از موتورهای ضدبدافزار برروی این پلتفرم این بدافزار را به عنوان مخرب علامت‌گذاری نکرده است.

مراجع

محققان یک موتور مبهم بدافزار کاملا غیرقابل شناسایی (FUD) به نام BatCloak را که توسط عوامل تهدید استفاده می‌شود را گزارش کرده‌اند. محققان Trend Micro، که موتور مبهم‌سازی بدافزار کاملا غیرقابل شناسایی (FUD) با نام BatCloak مورد تجزیه‌و‌تحلیل قرار داده‌اند که توسط عوامل تهدید برای ارائه مخفیانه بدافزار‌هایشان از سپتامبر ٢٠٢٢ استفاده می‌شود. نمونه‌های تجزیه‌و‌تحلیل شده توسط متخصصان توانایی قابل توجهی در دور زدن مداوم راه‌حل‌های ضد بدافزار را نشان دادند. محققان دریافتند که ٨٠ درصد از نمونه‌های بازیابی شده از راه‌حل‌های امنیتی امکان تشخیص صفر را داشتند. میانگین نرخ تشخیص برای مجموعه نمونه کلی ٧٨٤ مورد استفاده توسط کارشناسان کمتر از یک بود.

موتور BatCloak تشکیل دهنده اصلی ابزار ساخت فایل دسته‌ای آماده به نام Jlaive است که قابلیت هایی مانند عبور از رابط اسکن ضدبرنامه‌مخرب (AMSI) را داراست و همچنین توانایی فشرده‌سازی و رمزگذاری بار مفید اصلی را دارد تا از لحاظ امنیتی از حملات خودداری کند.
پس از اینکه مخزن حاوی ابزار متن باز در سپتامبر ٢٠٢٢ حذف شد، از آن زمان توسط سایر عوامل تهدید اصلاح شده است. محققان نسخه‌های اصلاح شده و کلون‌های Jlaive را به‌عنوان یک سرویس یکبار مصرف برای خرید به‌جای یک مدل کلاسیک مبتنی بر حق اشتراک، ارائه کردند.

بارگذاری نهایی با استفاده از سه لایه بارگذاری انجام می‌شود ، یک بارگذاری C#، یک بارگذاری PowerShell و یک بارگذاری دسته‌ای که آخرین آن به عنوان نقطه شروعی عمل می‌کند برای رمزگشایی و باز کردن هر مرحله و در نهایت انفجار برنامه ضد‌تشخیص شده است. درباره این موضوع پژوهشگران پیتر گیرنوس و علی‌اکبر زهراوی می‌گویند: بارگذار دسته‌ای حاوی یک بارگذاری PowerShell مبهم و یک باینری C# رمزگذاری شده است. در پایان، Jlaive از BatCloak به عنوان یک موتور ناشناسی فایل استفاده می‌کند تا بارگذاری دسته‌ای را ناشناس کرده و آن را در یک دیسک ذخیره کند.
گفته می‌شود که BatCloak از زمان ظهور در محیط های تهاجمی، به تعداد زیادی به‌روزرسانی و تغییر پیدا کرده است، و جدیدترین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با یک عملیات کریپتوجکینگ که توسط گروه 8220 انجام می‌شود، برجسته شد.
علاوه بر این، ScrubCrypt  برای هماهنگی با انواع مختلف خانواده‌های مخرب معروفی مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT طراحی شده است.
  مراجع

مایکروسافت در به‌روزرسانی‌های امنیتی (ژوئن 2023) 78 آسیب‌پذیری را گزارش داده است. طبقه بندی آسیب‌پذیری‌ها به شرح زیر است:
-    افزایش سطح دسترسی : 17
-    عبور از ویژگی‌های امنیتی: 3
-    اجرای کد از راه دور: 32
-    افشای اطلاعات: 5
-    منع از سرویس (Denial of Service): 10  
-    سوءاستفاده از هویت: 10  
-    آسیب‌پذیری مربوط به Edge – Chromium : 1 مورد
شش مورد از این 78 آسیب پذیری ، بحرانی طبقه بندی شدند و امکان اجرای کد از راه دور و افزایش امتیاز را می‌دهند و بقیه هم با شدت بالا، متوسط و شدت پایین تعریف شده‌اند. در این بروزرسانی زیرودی یا آسیب پذیری که از قبل اکسپلویت شده باشد وجود ندارد و فقط آسیب پذیری Chromium قبلا اکسپلویت شده است. برای مطالعه بیشتر اینجا کلیک نمایید.
 

آسیب‌پذیری با شناسه CVE-2023-20887 و شدت بحرانی و امتیاز 9.8  در محصولات VMware یافت شده است. این آسیب‌پذیری آسیب‌پذیری از نوع Command Injection است. به موجب این آسیب پذیری مهاجم می‌تواند کد از راه دور خود را اجرا کند. اکسپلویت آسیب‌پذیری کمی پیچیدگی دارد و نیاز به تعامل کاربر نیز ندارد.
آسیب‌پذیری با شناسه CVE-2023-20888 و شدت بحرانی و امتیاز 9.1 در محصولات VMware یافت شده است. این آسیب‌پذیری آسیب پذیری از نوع Authenticated Deserialization است. به موجب این آسیب‌پذیری مهاجمی که دسترسی به رول member را دارد، می‌تواند از این آسیب‌پذیری برای اجرای کد از راه دور استفاده کند.
آسیب‌پذیری با شناسه CVE-2023-20889 و شدت بالا و امتیاز 8.8  در محصولات VMware یافت شده است. این آسیب‌پذیری آسیب پذیری از نوع افشای اطلاعات است. به موجب این آسیب‌پذیری مهاجم می‌تواند یک حمله command injection انجام دهد که در نهایت منجر به افشای اطلاعات می‌شود.
نسخه های تحت تاثیر و اصلاح شده:

برای اصلاح آسیب‌پذیری‌ها، فقط بروزرسانی باید انجام شود. باید اصلاحیه را دانلود کرد و با کاربر Administrator وارد vRealize Network Insight GUI شد و از طریق مسیر زیر بروز رسانی انجام شود:

Settings > Install and Support > Overview and Updates

 مراجع

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20888

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20889

https://www.vmware.com/security/advisories/VMSA-2023-0012.html

گوگل برای ماه ژوئن، 56 آسیب‌پذیری را در اندروید اصلاح کرده است. 5 مورد دارای شدت بحرانی و بقیه موارد دارای شدت بالا هستند. یکی از این آسیب‌پذیری‌ها هم روز صفر است که از دسامبر 2022 (آذر 1401) در حملاتی مورد استفاده قرار گرفته است. برای مطالعه بیشتر اینجا کلیک نمایید.

آسیب‌پذیری با شناسه CVE-2023-20105 و شدت بحرانی و امتیاز 9.6  در محصولات Cisco یافت شده است. در سری Cisco Expressway و سرور ارتباطات تصویری Cisco TelePresence (VCS)، چندین آسیب‌پذیری وجود دارد. این آسیب‌پذیری‌ها می‌توانند توسط یک حمله‌کننده که دارای اطلاعات احراز هویت سطح مدیریتی "فقط خواندنی" است، استفاده شوند. با بهره‌برداری از این آسیب‌پذیری‌ها، حمله‌کننده می‌تواند امتیازات خود را از سطح "فقط خواندنی" به "خواندن و نوشتن" ارتقا دهد و کنترل کاملی در سیستم آسیب‌پذیر بدست آورد. به عبارت دیگر برای بهره‌برداری کافی است مهاجم یک درخواست مخرب به رابط وب برنامه ارسال کند. بهره‌برداری موفق می‌تواند رمز هر کاربری از جمله Administrator read-write را تغییر و منجر به جعل هویت شود. 
برای کسانی که از نسخه‌های قبل از 14.0 استفاده می‌کنند، توصیه می‌شود که به یک نسخه ثابت شده تغییر دهند تا از این آسیب‌پذیری‌ها جلوگیری شود.

کاربران Cisco، ضروری است که از این آسیب‌پذیری‌ها آگاه باشند و اقدامات مناسبی را برای کاهش خطر اتخاذ نمایند.
مراجع

آسیب‌پذیری با شناسه CVE-2023-27997 و شدت بحرانی در محصولات Fortinet یافت شده است. فورتی‌نت اصلاحیه‌هایی را برای این آسیب‌پذیری منتشر کرده است. آسیب پذیری روی SSL-VPN در محصولات Fortigate کشف شده است .این آسیب پذیری قابلیت اجرای قطعه کد از راه دور( RCE) را در اختیار مهاجمان قرار می دهد. در یک هشدار ارائه شده توسط شرکت فرانسوی امنیت سایبری Olympe Cyberdefense آمده است: "این آسیب پذیری به یک عامل مهاجم امکان مداخله از طریق وی‌پی‌ان را فراهم می‌کند، حتی اگر MFA فعال باشد. تا کنون، تمام نسخه‌ها تحت تأثیر قرار گرفته‌اند.
نسخه های اصلاح شده:

FortiOS firmware versions 6.0.17, 6.2.15, 6.4.13, 7.0.12, 7.2.5

در حال حاضر جزییاتی از این بروزرسانی در سایت فورتی‌نت منتشر نشده است اما مدیران و متخصصین امنیتی اعلام کرده‌اند که این بروزرسانی بی سر و صدا یک آسیب‌پذیری اجرای کد را در SSL-VPN اصلاح میکند. فورتی نت معمولا این کار رو برای آسیب‌پذیری های حیاتی انجام می‌دهد تا به کاربران فرصت دهد تا اصلاحیه‌ها را اعمال کنند، قبل از اینکه بازیگران تهدید، برای آن بهره‌برداری منتشر کنند.
آسیب‌پذیری توسط محققین امنیتی Lexfo Security کشف و گزارش شده است. این محققین توصیه کرده‌اند که بروزرسانی هر چه سریع‌تر اعمال شود، زیرا بعد از افشاء به سرعت توسط بازیگران تهدید، مهندسی معکوس شده و یک بهره‌برداری برای آن منتشر می‌کنند. با توجه به محبوبیت این نوع فایروال‌ها و دستگاه‌های VPN فورتی نت، این محصولات به اهداف جذاب برای هکرها تبدیل شدند.

مراجع

https://www.helpnetsecurity.com/2023/06/11/cve-2023-27997/

https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vp…