هشدار CISA درباره حمله FortiBleed؛ بیش از ۸۶ هزار دستگاه FortiGate هدف مهاجمان قرار گرفتند

حمله FortiBleed علیه فایروال FortiGate و هشدار CISA درباره امنیت تجهیزات Fortinet

در یکی از بزرگ‌ترین رخدادهای امنیت سایبری سال، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نسبت به یک کمپین گسترده با نام FortiBleed هشدار داده است. این حمله هزاران فایروال FortiGate و دروازه VPN شرکت Fortinet را که به اینترنت متصل هستند، هدف قرار داده و نگرانی‌های جدی درباره امنیت زیرساخت‌های سازمانی ایجاد کرده است.

بر اساس اطلاعات منتشرشده، تا تاریخ ۱۹ ژوئن ۲۰۲۶ بیش از ۸۶٬۶۴۴ دستگاه FortiGate در معرض دسترسی مهاجمان قرار گرفته یا آلوده شده‌اند. کارشناسان امنیتی این کمپین را به گروهی از مهاجمان روس‌زبان نسبت می‌دهند که با استفاده از اعتبارنامه‌های افشاشده (Leaked Credentials) و حملات خودکار، موفق شده‌اند به تعداد زیادی از تجهیزات امنیتی Fortinet نفوذ کنند.

این رخداد بار دیگر نشان می‌دهد که حتی فایروال‌های سازمانی نیز در صورت استفاده از رمزهای عبور ضعیف، عدم تغییر Credentialهای پیش‌فرض یا نبود احراز هویت چندعاملی (MFA) می‌توانند به یکی از اصلی‌ترین نقاط ورود مهاجمان به شبکه تبدیل شوند.


حمله FortiBleed چیست؟

FortiBleed نام کمپینی است که مهاجمان در آن با هدف قرار دادن دستگاه‌های FortiGate متصل به اینترنت، تلاش می‌کنند از طریق Credential Stuffing، Brute Force و Dictionary Attack به حساب‌های مدیریتی و سرویس‌های SSL VPN دسترسی پیدا کنند.

بررسی‌ها نشان می‌دهد این حمله تنها به استفاده از رمزهای عبور پیش‌فرض محدود نیست؛ بلکه مهاجمان از پایگاه داده‌ای شامل هزاران نام کاربری و رمز عبور معتبر استفاده می‌کنند که طی سال‌های گذشته از رخدادهای مختلف نشت اطلاعات (Data Breach) جمع‌آوری شده‌اند.

به همین دلیل، سازمان‌هایی که تاکنون رمزهای عبور حساب‌های مدیریتی خود را تغییر نداده‌اند یا از رمزهای تکراری در سرویس‌های مختلف استفاده می‌کنند، بیش از سایرین در معرض خطر قرار دارند.


بیش از ۸۶ هزار دستگاه FortiGate در معرض خطر

طبق گزارش منتشرشده، این کمپین تاکنون بیش از ۸۶ هزار دستگاه FortiGate را تحت تأثیر قرار داده است.

این آمار تنها شامل دستگاه‌هایی است که دسترسی مهاجمان به آن‌ها تأیید شده یا اطلاعات ورود آن‌ها در پایگاه داده مهاجمان مشاهده شده است؛ بنابراین احتمال می‌رود تعداد واقعی سیستم‌های آسیب‌دیده بسیار بیشتر باشد.

از دید کارشناسان امنیت سایبری، این موضوع نشان‌دهنده یکی از گسترده‌ترین حملات علیه تجهیزات Fortinet در سال‌های اخیر است.


اعتبارنامه‌های افشاشده چگونه به مهاجمان کمک می‌کنند؟

بررسی شرکت SOCRadar نشان می‌دهد بخش قابل توجهی از اطلاعات جمع‌آوری‌شده مربوط به حساب‌های مدیریتی عمومی (Generic Admin Accounts) و حساب‌های پیش‌فرض سیستم‌های Fortinet است.

بر اساس این گزارش:

  • حدود ۳۵ درصد از اعتبارنامه‌های افشاشده مربوط به حساب‌های Generic Admin بوده‌اند.
  • نزدیک به ۲۸.۳ درصد به حساب‌های داخلی و پیش‌فرض Fortinet اختصاص داشته‌اند.
  • حدود ۳۶.۷ درصد نیز متعلق به حساب‌های اختصاصی ایجادشده توسط سازمان‌ها بوده است.

این آمار نشان می‌دهد بسیاری از سازمان‌ها هنوز پس از نصب تجهیزات امنیتی، نام کاربری و رمز عبور پیش‌فرض را تغییر نداده‌اند یا از الگوهای رمز عبور ضعیف استفاده می‌کنند.

کارشناسان معتقدند چنین شرایطی باعث می‌شود مهاجمان حتی بدون اجرای حملات پیچیده، تنها با استفاده از فهرست Credentialهای شناخته‌شده، شانس بالایی برای نفوذ به سامانه‌های سازمانی داشته باشند.


چرا حساب‌های اختصاصی سازمان‌ها نیز در معرض خطر قرار گرفته‌اند؟

یکی از نکات قابل توجه در این کمپین، سهم بالای حساب‌های اختصاصی سازمان‌ها در میان اطلاعات افشاشده است.

این موضوع نشان می‌دهد مهاجمان تنها به استفاده از حساب‌های پیش‌فرض بسنده نکرده‌اند، بلکه موفق شده‌اند Credentialهایی را نیز به دست آورند که توسط مدیران شبکه یا کارشناسان فناوری اطلاعات ایجاد شده‌اند.

کارشناسان احتمال می‌دهند بخش زیادی از این اطلاعات از رخدادهای قدیمی نشت داده به دست آمده باشد؛ رخدادهایی که پس از آن، کاربران رمز عبور خود را تغییر نداده‌اند.

همین موضوع اهمیت اجرای سیاست‌های Password Rotation، استفاده از رمزهای عبور منحصربه‌فرد و فعال‌سازی احراز هویت چندعاملی (MFA) را بیش از گذشته نشان می‌دهد.


کدام سازمان‌ها بیشترین آسیب را دیده‌اند؟

بر اساس داده‌های منتشرشده، سه صنعت بیش از سایر بخش‌ها در معرض این حمله قرار گرفته‌اند:

  • مخابرات (Telecommunications)
  • سازمان‌های دولتی (Government)
  • مراکز آموزشی (Education)

از نظر جغرافیایی نیز بیشترین موارد شناسایی‌شده مربوط به کشورهای زیر بوده است:

  • هند
  • ایالات متحده
  • مکزیک
  • کلمبیا
  • تایلند

گستردگی جغرافیایی این کمپین نشان می‌دهد FortiBleed یک حمله محدود یا منطقه‌ای نیست، بلکه یک تهدید جهانی علیه زیرساخت‌های مبتنی بر Fortinet محسوب می‌شود.

نحوه عملکرد کمپین FortiBleed؛ مهاجمان چگونه به دستگاه‌های FortiGate نفوذ می‌کنند؟

بررسی‌های انجام‌شده نشان می‌دهد کمپین FortiBleed یک حمله ساده مبتنی بر حدس زدن رمز عبور نیست؛ بلکه یک عملیات کاملاً خودکار و چندمرحله‌ای است که با استفاده از Credential Stuffing، Brute Force و Dictionary Attack، هزاران فایروال FortiGate و دروازه‌های SSL VPN را در سراسر جهان هدف قرار می‌دهد.

در این حمله، مهاجمان ابتدا اینترنت را برای شناسایی دستگاه‌های Fortinet که از خارج سازمان در دسترس هستند، اسکن می‌کنند. سپس با استفاده از مجموعه‌ای از اعتبارنامه‌های افشاشده (Leaked Credentials) و ابزارهای خودکار، تلاش می‌کنند به رابط مدیریتی یا سرویس SSL VPN این تجهیزات دسترسی پیدا کنند.

این روش باعث می‌شود مهاجمان بتوانند در مدت‌زمان کوتاهی هزاران دستگاه را بررسی و تنها سیستم‌هایی را که دارای اطلاعات ورود معتبر هستند، شناسایی کنند.


مرحله اول؛ شناسایی دستگاه‌های متصل به اینترنت

اولین گام در حمله FortiBleed، جمع‌آوری اطلاعات درباره تجهیزات Fortinet است.

مهاجمان با استفاده از ابزارهای اسکن اینترنت، سرویس‌هایی را که دارای رابط مدیریتی یا SSL VPN هستند شناسایی می‌کنند. این فرآیند کاملاً خودکار انجام می‌شود و هدف آن، تهیه فهرستی از دستگاه‌هایی است که امکان دسترسی از طریق اینترنت را فراهم کرده‌اند.

پس از تکمیل این مرحله، مهاجمان اطلاعات به‌دست‌آمده را دسته‌بندی کرده و تنها دستگاه‌هایی را انتخاب می‌کنند که احتمال موفقیت حمله در آن‌ها بیشتر باشد.


مرحله دوم؛ استفاده از Credential Stuffing

پس از شناسایی اهداف، مهاجمان وارد مرحله دوم می‌شوند؛ یعنی استفاده از Credential Stuffing.

در این تکنیک، هزاران نام کاربری و رمز عبور که در رخدادهای قبلی نشت اطلاعات (Data Breach) افشا شده‌اند، به‌صورت خودکار روی دستگاه‌های FortiGate آزمایش می‌شوند.

نکته مهم این است که مهاجمان نیازی به شکستن رمز عبور ندارند؛ بلکه از این واقعیت سوءاستفاده می‌کنند که بسیاری از کاربران و مدیران شبکه، از یک رمز عبور در چندین سرویس مختلف استفاده می‌کنند.

به همین دلیل، اگر اطلاعات ورود یک مدیر شبکه در گذشته از هر سرویس دیگری افشا شده باشد و همان رمز عبور برای FortiGate نیز استفاده شده باشد، احتمال موفقیت حمله بسیار بالا خواهد بود.


Brute Force و Dictionary Attack چه نقشی در FortiBleed دارند؟

در مواردی که Credential Stuffing نتیجه مطلوبی نداشته باشد، مهاجمان از روش‌های دیگری مانند Brute Force و Dictionary Attack استفاده می‌کنند.

در حملات Brute Force، سیستم مهاجم ترکیب‌های مختلف رمز عبور را به‌صورت خودکار آزمایش می‌کند تا در نهایت به رمز صحیح برسد.

در مقابل، Dictionary Attack بر پایه فهرستی از رمزهای عبور رایج یا الگوهای متداول انجام می‌شود و به دلیل سرعت بیشتر، یکی از روش‌های محبوب مهاجمان برای هدف قرار دادن تجهیزات شبکه محسوب می‌شود.

ترکیب این سه تکنیک باعث شده است کمپین FortiBleed نرخ موفقیت بالایی در نفوذ به تجهیزات Fortinet داشته باشد.


مدل دو مرحله‌ای FortiBleed چگونه گسترش پیدا می‌کند؟

یکی از ویژگی‌های مهم این کمپین، استفاده از یک مدل خودتقویت‌شونده (Self-Reinforcing Attack Model) است.

در مرحله نخست، مهاجم با استفاده از مجموعه‌ای از Credentialهای معتبر، تلاش می‌کند به تعدادی از دستگاه‌های FortiGate دسترسی پیدا کند.

اما پس از موفقیت اولیه، حمله وارد مرحله دوم می‌شود.

در این مرحله، مهاجمان ترافیک عبوری از دستگاه‌های آلوده را به‌صورت غیرفعال (Passive Monitoring) بررسی می‌کنند تا اطلاعات ورود جدید، نشست‌های فعال یا سایر داده‌های حساس را استخراج کنند.

به بیان دیگر، هر دستگاه آلوده می‌تواند به منبعی برای کشف Credentialهای بیشتر تبدیل شود.

در ادامه، همین اطلاعات برای حمله به سایر تجهیزات Fortinet مورد استفاده قرار می‌گیرد و به این ترتیب، دامنه حمله به‌صورت زنجیره‌ای گسترش پیدا می‌کند.


چرا مهاجمان فقط از اطلاعات ورود معتبر استفاده می‌کنند؟

یکی از نکات مهم در گزارش منتشرشده این است که مهاجمان پیش از ذخیره هر Credential، اعتبار آن را بررسی می‌کنند.

به عبارت دیگر، هر نام کاربری یا رمز عبوری که در پایگاه داده آن‌ها قرار می‌گیرد، قبلاً روی یکی از دستگاه‌ها آزمایش شده و موفق به ورود شده است.

این موضوع باعث می‌شود پایگاه داده مهاجمان تنها شامل اعتبارنامه‌های فعال و قابل استفاده باشد.

در نتیجه، حملات بعدی با سرعت بیشتر و احتمال موفقیت بالاتری انجام خواهند شد؛ زیرا دیگر نیازی به آزمایش میلیون‌ها رمز عبور نامعتبر وجود ندارد.


چرا کمپین FortiBleed تهدیدی برای همه صنایع محسوب می‌شود؟

شرکت امنیتی Hudson Rock اعلام کرده است که ابعاد این حمله فراتر از یک صنعت یا منطقه جغرافیایی خاص است.

به گفته این شرکت، مهاجمان موفق شده‌اند پایگاه داده‌ای از Credentialهای معتبر متعلق به سازمان‌های بزرگ در حوزه‌های مختلف ایجاد کنند.

این موضوع نشان می‌دهد که تقریباً تمام صنایع، از جمله:

  • بانکداری و خدمات مالی
  • دولت و سازمان‌های عمومی
  • مخابرات
  • سلامت و درمان
  • آموزش
  • انرژی
  • شرکت‌های فناوری
  • زیرساخت‌های حیاتی

می‌توانند در معرض این کمپین قرار داشته باشند.

از آنجا که فایروال FortiGate معمولاً اولین لایه دفاعی شبکه‌های سازمانی محسوب می‌شود، نفوذ به این تجهیزات می‌تواند مسیر ورود مهاجمان به سایر سامانه‌های داخلی را نیز هموار کند.


مرکز ملی امنیت سایبری بریتانیا درباره FortiBleed چه می‌گوید؟

مرکز ملی امنیت سایبری بریتانیا (NCSC) نیز نسبت به این کمپین هشدار داده و آن را یک تهدید جهانی علیه تجهیزات Fortinet توصیف کرده است.

بر اساس این گزارش، مهاجمان از ترکیب روش‌های Brute Force، Dictionary Attack و Credential Stuffing برای هدف قرار دادن SSL VPN و رابط‌های مدیریتی استفاده می‌کنند.

کارشناسان NCSC تأکید کرده‌اند که استفاده مجدد از رمزهای عبور، نگهداری حساب‌های پیش‌فرض و نبود احراز هویت چندعاملی (MFA) از مهم‌ترین عواملی هستند که احتمال موفقیت این حمله را افزایش می‌دهند.

این هشدار بار دیگر نشان می‌دهد که امنیت تجهیزات مرزی شبکه تنها به نصب یک فایروال محدود نمی‌شود؛ بلکه مدیریت صحیح Credentialها، پایش مداوم لاگ‌ها و اجرای سیاست‌های امنیتی مناسب نیز نقش تعیین‌کننده‌ای در جلوگیری از نفوذ مهاجمان دارند.

چرا نسخه‌های قدیمی FortiOS همچنان در برابر حمله FortiBleed آسیب‌پذیر هستند؟

یکی از مهم‌ترین نکاتی که در بررسی کمپین FortiBleed مطرح شده، نحوه ذخیره‌سازی اعتبارنامه‌های مدیریتی (Administrator Credentials) در نسخه‌های مختلف FortiOS است.

بررسی‌های شرکت امنیتی Arctic Wolf نشان می‌دهد که در نسخه‌های قدیمی سیستم‌عامل FortiOS، رمزهای عبور مدیران با استفاده از الگوریتم SHA-256 و همراه با Salt ذخیره می‌شدند. اگرچه این روش در زمان خود قابل قبول بود، اما امروزه در برابر حملات مبتنی بر Brute Force و Credential Cracking مقاومت کافی ندارد.

به همین دلیل، Fortinet در نسخه‌های جدید FortiOS 7.2.11، 7.4.8 و 7.6.1 الگوریتم PBKDF2 (Password-Based Key Derivation Function 2) را برای محافظت از رمزهای عبور مدیریتی معرفی کرده است؛ الگوریتمی که امنیت بسیار بیشتری در برابر حملات حدس رمز عبور و استخراج هش فراهم می‌کند.


ارتقای FortiOS به‌تنهایی کافی نیست

یکی از مهم‌ترین یافته‌های این گزارش آن است که به‌روزرسانی FortiOS لزوماً به معنای ایمن شدن کامل سیستم نیست.

در بسیاری از سازمان‌ها، مدیران شبکه نسخه سیستم‌عامل را ارتقا می‌دهند، اما رمز عبور حساب Administrator را تغییر نمی‌دهند.

در چنین شرایطی، هش قدیمی مبتنی بر SHA-256 همچنان در فایل‌های پیکربندی باقی می‌ماند.

در واقع، تا زمانی که مدیر سیستم پس از ارتقا وارد حساب کاربری خود نشده و رمز عبور را مجدداً تنظیم نکند، فرآیند تبدیل هش قدیمی به PBKDF2 انجام نخواهد شد.

این موضوع باعث می‌شود بسیاری از تجهیزات، علی‌رغم استفاده از نسخه‌های جدید FortiOS، همچنان از مکانیزم قدیمی ذخیره‌سازی رمز عبور استفاده کنند و در برابر حملات مبتنی بر Credential آسیب‌پذیر باقی بمانند.


واکنش رسمی Fortinet به کمپین FortiBleed

پس از انتشار گزارش‌های مربوط به FortiBleed، شرکت Fortinet با انتشار بیانیه‌ای اعلام کرد که اطلاعات منتشرشده مربوط به یک آسیب‌پذیری جدید نیست.

بر اساس این بیانیه، بخش قابل توجهی از داده‌های موجود در پایگاه داده مهاجمان، حاصل رخدادهای قدیمی نشت اطلاعات و همچنین موفقیت حملات Brute Force و Credential Stuffing است.

به بیان دیگر، شرکت Fortinet معتقد است مهاجمان از رمزهای عبور قدیمی، تکراری یا افشاشده سوءاستفاده کرده‌اند و این کمپین الزاماً به وجود یک نقص امنیتی جدید در محصولات Fortinet ارتباط ندارد.

با این حال، این شرکت از تمامی مشتریان خود خواسته است که اقدامات امنیتی زیر را در اولویت قرار دهند:

  • تغییر دوره‌ای رمزهای عبور (Password Rotation)
  • استفاده از رمزهای عبور قوی و منحصربه‌فرد
  • فعال‌سازی احراز هویت چندعاملی (MFA)
  • به‌روزرسانی مستمر FortiOS
  • بررسی منظم لاگ‌های امنیتی

توصیه‌های CISA برای محافظت از تجهیزات FortiGate

هم‌زمان با انتشار این هشدار، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) مجموعه‌ای از اقدامات فوری را برای کاهش ریسک این کمپین منتشر کرد.

کارشناسان CISA تأکید می‌کنند که سازمان‌ها باید فرض کنند در صورت استفاده از رمزهای عبور قدیمی یا تکراری، احتمال افشای اطلاعات ورود آن‌ها وجود دارد.

به همین دلیل، اجرای اقدامات زیر ضروری است.


۱. تمام نشست‌های فعال را خاتمه دهید

در اولین گام، تمامی نشست‌های فعال مربوط به:

  • SSL VPN
  • رابط مدیریتی
  • حساب‌های Administrator

باید پایان داده شوند.

این اقدام باعث می‌شود اگر مهاجم قبلاً وارد سیستم شده باشد، اتصال او قطع شود و برای دسترسی مجدد نیاز به احراز هویت داشته باشد.


۲. همه رمزهای عبور مدیریتی را بازنشانی کنید

CISA توصیه می‌کند تمامی رمزهای عبور Administrator و حساب‌های VPN تغییر داده شوند.

این موضوع به‌ویژه برای تجهیزاتی که مستقیماً از اینترنت قابل دسترس هستند، اهمیت بسیار بیشتری دارد.

همچنین بهتر است از رمزهای عبوری استفاده شود که:

  • طول کافی داشته باشند.
  • منحصربه‌فرد باشند.
  • در هیچ سرویس دیگری استفاده نشده باشند.
  • به‌صورت دوره‌ای تغییر کنند.

۳. احراز هویت چندعاملی (MFA) را فعال کنید

فعال‌سازی احراز هویت چندعاملی (Multi-Factor Authentication) یکی از مؤثرترین روش‌ها برای جلوگیری از سوءاستفاده از Credentialهای افشاشده است.

حتی اگر مهاجم موفق شود نام کاربری و رمز عبور را به دست آورد، بدون عامل دوم احراز هویت قادر به ورود نخواهد بود.

CISA به‌طور ویژه استفاده از MFA مقاوم در برابر حملات فیشینگ (Phishing-Resistant MFA) را برای تمامی SSL VPNها و رابط‌های مدیریتی توصیه کرده است.


۴. لاگ‌های امنیتی را به‌صورت مستمر بررسی کنید

یکی دیگر از توصیه‌های مهم CISA، پایش مداوم لاگ‌های امنیتی است.

مدیران شبکه باید به‌طور منظم لاگ‌های مربوط به موارد زیر را بررسی کنند:

  • Firewall Logs
  • VPN Logs
  • Authentication Logs
  • Domain Controller Logs

وجود ورودهای ناموفق متعدد، تغییرات غیرمنتظره در تنظیمات یا ایجاد حساب‌های جدید می‌تواند نشانه‌ای از فعالیت مهاجمان باشد.


۵. سطح حمله (Attack Surface) را کاهش دهید

هرچه تعداد سرویس‌هایی که مستقیماً از اینترنت در دسترس هستند کمتر باشد، احتمال موفقیت مهاجمان نیز کاهش پیدا می‌کند.

در همین راستا، CISA پیشنهاد می‌کند:

  • دسترسی مدیریتی فقط از آدرس‌های IP مشخص امکان‌پذیر باشد.
  • رابط مدیریت مستقیماً در اینترنت منتشر نشود.
  • سرویس‌های غیرضروری غیرفعال شوند.
  • دسترسی از راه دور فقط برای کاربران مجاز فعال باشد.

اجرای این اقدامات می‌تواند احتمال موفقیت حملات FortiBleed و سایر کمپین‌های مشابه را به میزان قابل توجهی کاهش دهد.


چرا این هشدار برای مدیران شبکه اهمیت ویژه‌ای دارد؟

FortiGate در بسیاری از سازمان‌ها، نخستین لایه دفاعی شبکه محسوب می‌شود. نفوذ به این تجهیزات می‌تواند راه را برای دسترسی به سرورها، سامانه‌های داخلی، سرویس‌های ابری و حتی اطلاعات حساس سازمان هموار کند.

به همین دلیل، کمپین FortiBleed تنها یک هشدار درباره چند رمز عبور افشاشده نیست؛ بلکه یادآور این واقعیت است که مدیریت صحیح اعتبارنامه‌ها، به‌روزرسانی مستمر تجهیزات امنیتی و اجرای سیاست‌های امنیتی چندلایه، نقش کلیدی در محافظت از زیرساخت‌های سازمانی دارند.

کمپین FortiBleed چگونه کشف شد؟

ماجرای FortiBleed زمانی رسانه‌ای شد که پژوهشگر امنیت سایبری Volodymyr “Bob” Diachenko موفق به شناسایی یک سرور بدون حفاظت شد؛ سروری که حاوی پایگاه داده‌ای از اعتبارنامه‌های معتبر (Valid Credentials) مربوط به هزاران فایروال FortiGate و دروازه VPN در سراسر جهان بود.

بررسی‌های انجام‌شده نشان داد این سرور تنها محل نگهداری اطلاعات ورود نبود، بلکه مجموعه‌ای از اسکریپت‌های خودکار، ابزارهای اسکن اینترنت و برنامه‌های مورد استفاده مهاجمان نیز روی آن قرار داشت.

به گفته پژوهشگران، اطلاعات موجود در این سرور به تجهیزات امنیتی مستقر در ۱۹۴ کشور مربوط می‌شد که نشان‌دهنده ابعاد جهانی این عملیات است.


چرا FortiBleed زنگ خطری برای سازمان‌ها محسوب می‌شود؟

اگرچه Fortinet اعلام کرده این رخداد ناشی از یک آسیب‌پذیری جدید در محصولات این شرکت نیست، اما ابعاد این کمپین نشان می‌دهد مدیریت ضعیف اعتبارنامه‌ها همچنان یکی از بزرگ‌ترین چالش‌های امنیت سایبری در سازمان‌ها است.

در بسیاری از موارد، مهاجمان بدون استفاده از اکسپلویت‌های پیچیده و تنها با بهره‌گیری از رمزهای عبور افشاشده، رمزهای تکراری یا حساب‌های پیش‌فرض موفق به نفوذ شده‌اند.

این موضوع ثابت می‌کند که حتی پیشرفته‌ترین فایروال‌های سازمانی نیز در صورت پیکربندی نادرست، استفاده از گذرواژه‌های ضعیف یا نبود احراز هویت چندعاملی (MFA) نمی‌توانند به‌تنهایی از زیرساخت‌های حیاتی محافظت کنند.


مهم‌ترین درس‌های امنیتی کمپین FortiBleed

کمپین FortiBleed تنها درباره تجهیزات Fortinet نیست؛ بلکه یادآور مجموعه‌ای از اصول پایه امنیت سایبری است که رعایت نکردن آن‌ها می‌تواند پیامدهای گسترده‌ای برای هر سازمان داشته باشد.

مهم‌ترین این درس‌ها عبارت‌اند از:

  • رمزهای عبور پیش‌فرض را بلافاصله پس از نصب تجهیزات تغییر دهید.
  • از رمزهای عبور منحصربه‌فرد و پیچیده برای حساب‌های مدیریتی استفاده کنید.
  • احراز هویت چندعاملی (MFA) را برای تمامی حساب‌های مدیریتی و سرویس‌های VPN فعال کنید.
  • سیستم‌عامل FortiOS و Firmware تجهیزات FortiGate را همواره به آخرین نسخه پایدار ارتقا دهید.
  • پس از ارتقای FortiOS، رمز عبور مدیران را مجدداً تنظیم کنید تا هش‌های قدیمی با الگوریتم PBKDF2 جایگزین شوند.
  • لاگ‌های Firewall، VPN و Authentication را به‌صورت مستمر بررسی و تحلیل کنید.
  • دسترسی مدیریتی را فقط به آدرس‌های IP مورد اعتماد محدود کنید.
  • از انتشار مستقیم رابط مدیریت تجهیزات امنیتی روی اینترنت خودداری کنید.
  • سیاست‌های مدیریت چرخه عمر رمز عبور (Password Rotation) را در سازمان اجرا کنید.
  • کاربران و مدیران شبکه را نسبت به خطر استفاده مجدد از Credentialها آموزش دهید.

اجرای این اقدامات می‌تواند احتمال موفقیت حملات مبتنی بر Credential Stuffing و Brute Force را به شکل قابل توجهی کاهش دهد.


جمع‌بندی

هشدار اخیر CISA درباره کمپین FortiBleed نشان می‌دهد که مهاجمان بیش از هر زمان دیگری بر سوءاستفاده از اعتبارنامه‌های افشاشده و ضعف‌های مدیریتی تمرکز کرده‌اند. در این حمله، بیش از ۸۶ هزار دستگاه FortiGate در نقاط مختلف جهان هدف قرار گرفته‌اند و بخش قابل توجهی از موفقیت مهاجمان به استفاده از رمزهای عبور تکراری، حساب‌های پیش‌فرض و نبود احراز هویت چندعاملی بازمی‌گردد.

اگرچه Fortinet تأکید کرده است که این کمپین ناشی از یک آسیب‌پذیری جدید در محصولات این شرکت نیست، اما این رخداد اهمیت بهداشت رمز عبور (Password Hygiene)، به‌روزرسانی مستمر تجهیزات امنیتی و اجرای سیاست‌های امنیتی چندلایه را بیش از پیش آشکار می‌کند.

برای سازمان‌هایی که از FortiGate، SSL VPN یا سایر تجهیزات امنیت پیرامونی استفاده می‌کنند، اکنون بهترین زمان برای بازبینی تنظیمات امنیتی، تغییر تمامی Credentialهای حساس، فعال‌سازی MFA و بررسی دقیق لاگ‌های امنیتی است. پیشگیری از حملات آینده، تنها با ترکیب فناوری، فرآیندهای امنیتی و آموزش مستمر امکان‌پذیر خواهد بود.


سوالات متداول (FAQ)

FortiBleed چیست؟

FortiBleed یک کمپین گسترده امنیت سایبری است که با استفاده از Credential Stuffing، Brute Force و Dictionary Attack، دستگاه‌های FortiGate و SSL VPN متصل به اینترنت را هدف قرار می‌دهد.


آیا FortiBleed ناشی از یک آسیب‌پذیری جدید در Fortinet است؟

خیر. بر اساس بیانیه رسمی Fortinet، این کمپین عمدتاً از اعتبارنامه‌های افشاشده، رمزهای عبور ضعیف و حملات مبتنی بر حدس رمز عبور سوءاستفاده می‌کند و به یک آسیب‌پذیری جدید در محصولات این شرکت ارتباط مستقیم ندارد.


چرا بیش از ۸۶ هزار دستگاه FortiGate در معرض خطر قرار گرفته‌اند؟

بخش زیادی از این تجهیزات از رمزهای عبور پیش‌فرض، Credentialهای تکراری یا اطلاعات ورود افشاشده استفاده می‌کردند. همین موضوع باعث شد مهاجمان بتوانند با استفاده از ابزارهای خودکار به تعداد زیادی از دستگاه‌ها دسترسی پیدا کنند.


چگونه می‌توان از حمله FortiBleed جلوگیری کرد؟

بهترین راهکارها عبارت‌اند از:

  • فعال‌سازی احراز هویت چندعاملی (MFA)
  • تغییر تمامی رمزهای عبور مدیریتی
  • استفاده از رمزهای عبور قوی و منحصربه‌فرد
  • به‌روزرسانی منظم FortiOS
  • بررسی مداوم لاگ‌های امنیتی
  • محدود کردن دسترسی مدیریتی به آدرس‌های IP قابل اعتماد

آیا سازمان‌های ایرانی نیز باید نگران FortiBleed باشند؟

بله. هر سازمانی که از FortiGate یا SSL VPN استفاده می‌کند و رابط مدیریتی آن از طریق اینترنت در دسترس است، در صورت رعایت نکردن اصول امنیتی مانند MFA، مدیریت صحیح Credentialها و به‌روزرسانی منظم تجهیزات، ممکن است در معرض حملات مشابه قرار گیرد.

اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر