در یکی از بزرگترین رخدادهای امنیت سایبری سال، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نسبت به یک کمپین گسترده با نام FortiBleed هشدار داده است. این حمله هزاران فایروال FortiGate و دروازه VPN شرکت Fortinet را که به اینترنت متصل هستند، هدف قرار داده و نگرانیهای جدی درباره امنیت زیرساختهای سازمانی ایجاد کرده است.
بر اساس اطلاعات منتشرشده، تا تاریخ ۱۹ ژوئن ۲۰۲۶ بیش از ۸۶٬۶۴۴ دستگاه FortiGate در معرض دسترسی مهاجمان قرار گرفته یا آلوده شدهاند. کارشناسان امنیتی این کمپین را به گروهی از مهاجمان روسزبان نسبت میدهند که با استفاده از اعتبارنامههای افشاشده (Leaked Credentials) و حملات خودکار، موفق شدهاند به تعداد زیادی از تجهیزات امنیتی Fortinet نفوذ کنند.
این رخداد بار دیگر نشان میدهد که حتی فایروالهای سازمانی نیز در صورت استفاده از رمزهای عبور ضعیف، عدم تغییر Credentialهای پیشفرض یا نبود احراز هویت چندعاملی (MFA) میتوانند به یکی از اصلیترین نقاط ورود مهاجمان به شبکه تبدیل شوند.
حمله FortiBleed چیست؟
FortiBleed نام کمپینی است که مهاجمان در آن با هدف قرار دادن دستگاههای FortiGate متصل به اینترنت، تلاش میکنند از طریق Credential Stuffing، Brute Force و Dictionary Attack به حسابهای مدیریتی و سرویسهای SSL VPN دسترسی پیدا کنند.
بررسیها نشان میدهد این حمله تنها به استفاده از رمزهای عبور پیشفرض محدود نیست؛ بلکه مهاجمان از پایگاه دادهای شامل هزاران نام کاربری و رمز عبور معتبر استفاده میکنند که طی سالهای گذشته از رخدادهای مختلف نشت اطلاعات (Data Breach) جمعآوری شدهاند.
به همین دلیل، سازمانهایی که تاکنون رمزهای عبور حسابهای مدیریتی خود را تغییر ندادهاند یا از رمزهای تکراری در سرویسهای مختلف استفاده میکنند، بیش از سایرین در معرض خطر قرار دارند.
بیش از ۸۶ هزار دستگاه FortiGate در معرض خطر
طبق گزارش منتشرشده، این کمپین تاکنون بیش از ۸۶ هزار دستگاه FortiGate را تحت تأثیر قرار داده است.
این آمار تنها شامل دستگاههایی است که دسترسی مهاجمان به آنها تأیید شده یا اطلاعات ورود آنها در پایگاه داده مهاجمان مشاهده شده است؛ بنابراین احتمال میرود تعداد واقعی سیستمهای آسیبدیده بسیار بیشتر باشد.
از دید کارشناسان امنیت سایبری، این موضوع نشاندهنده یکی از گستردهترین حملات علیه تجهیزات Fortinet در سالهای اخیر است.
اعتبارنامههای افشاشده چگونه به مهاجمان کمک میکنند؟
بررسی شرکت SOCRadar نشان میدهد بخش قابل توجهی از اطلاعات جمعآوریشده مربوط به حسابهای مدیریتی عمومی (Generic Admin Accounts) و حسابهای پیشفرض سیستمهای Fortinet است.
بر اساس این گزارش:
- حدود ۳۵ درصد از اعتبارنامههای افشاشده مربوط به حسابهای Generic Admin بودهاند.
- نزدیک به ۲۸.۳ درصد به حسابهای داخلی و پیشفرض Fortinet اختصاص داشتهاند.
- حدود ۳۶.۷ درصد نیز متعلق به حسابهای اختصاصی ایجادشده توسط سازمانها بوده است.
این آمار نشان میدهد بسیاری از سازمانها هنوز پس از نصب تجهیزات امنیتی، نام کاربری و رمز عبور پیشفرض را تغییر ندادهاند یا از الگوهای رمز عبور ضعیف استفاده میکنند.
کارشناسان معتقدند چنین شرایطی باعث میشود مهاجمان حتی بدون اجرای حملات پیچیده، تنها با استفاده از فهرست Credentialهای شناختهشده، شانس بالایی برای نفوذ به سامانههای سازمانی داشته باشند.
چرا حسابهای اختصاصی سازمانها نیز در معرض خطر قرار گرفتهاند؟
یکی از نکات قابل توجه در این کمپین، سهم بالای حسابهای اختصاصی سازمانها در میان اطلاعات افشاشده است.
این موضوع نشان میدهد مهاجمان تنها به استفاده از حسابهای پیشفرض بسنده نکردهاند، بلکه موفق شدهاند Credentialهایی را نیز به دست آورند که توسط مدیران شبکه یا کارشناسان فناوری اطلاعات ایجاد شدهاند.
کارشناسان احتمال میدهند بخش زیادی از این اطلاعات از رخدادهای قدیمی نشت داده به دست آمده باشد؛ رخدادهایی که پس از آن، کاربران رمز عبور خود را تغییر ندادهاند.
همین موضوع اهمیت اجرای سیاستهای Password Rotation، استفاده از رمزهای عبور منحصربهفرد و فعالسازی احراز هویت چندعاملی (MFA) را بیش از گذشته نشان میدهد.
کدام سازمانها بیشترین آسیب را دیدهاند؟
بر اساس دادههای منتشرشده، سه صنعت بیش از سایر بخشها در معرض این حمله قرار گرفتهاند:
- مخابرات (Telecommunications)
- سازمانهای دولتی (Government)
- مراکز آموزشی (Education)
از نظر جغرافیایی نیز بیشترین موارد شناساییشده مربوط به کشورهای زیر بوده است:
- هند
- ایالات متحده
- مکزیک
- کلمبیا
- تایلند
گستردگی جغرافیایی این کمپین نشان میدهد FortiBleed یک حمله محدود یا منطقهای نیست، بلکه یک تهدید جهانی علیه زیرساختهای مبتنی بر Fortinet محسوب میشود.
نحوه عملکرد کمپین FortiBleed؛ مهاجمان چگونه به دستگاههای FortiGate نفوذ میکنند؟
بررسیهای انجامشده نشان میدهد کمپین FortiBleed یک حمله ساده مبتنی بر حدس زدن رمز عبور نیست؛ بلکه یک عملیات کاملاً خودکار و چندمرحلهای است که با استفاده از Credential Stuffing، Brute Force و Dictionary Attack، هزاران فایروال FortiGate و دروازههای SSL VPN را در سراسر جهان هدف قرار میدهد.
در این حمله، مهاجمان ابتدا اینترنت را برای شناسایی دستگاههای Fortinet که از خارج سازمان در دسترس هستند، اسکن میکنند. سپس با استفاده از مجموعهای از اعتبارنامههای افشاشده (Leaked Credentials) و ابزارهای خودکار، تلاش میکنند به رابط مدیریتی یا سرویس SSL VPN این تجهیزات دسترسی پیدا کنند.
این روش باعث میشود مهاجمان بتوانند در مدتزمان کوتاهی هزاران دستگاه را بررسی و تنها سیستمهایی را که دارای اطلاعات ورود معتبر هستند، شناسایی کنند.
مرحله اول؛ شناسایی دستگاههای متصل به اینترنت
اولین گام در حمله FortiBleed، جمعآوری اطلاعات درباره تجهیزات Fortinet است.
مهاجمان با استفاده از ابزارهای اسکن اینترنت، سرویسهایی را که دارای رابط مدیریتی یا SSL VPN هستند شناسایی میکنند. این فرآیند کاملاً خودکار انجام میشود و هدف آن، تهیه فهرستی از دستگاههایی است که امکان دسترسی از طریق اینترنت را فراهم کردهاند.
پس از تکمیل این مرحله، مهاجمان اطلاعات بهدستآمده را دستهبندی کرده و تنها دستگاههایی را انتخاب میکنند که احتمال موفقیت حمله در آنها بیشتر باشد.
مرحله دوم؛ استفاده از Credential Stuffing
پس از شناسایی اهداف، مهاجمان وارد مرحله دوم میشوند؛ یعنی استفاده از Credential Stuffing.
در این تکنیک، هزاران نام کاربری و رمز عبور که در رخدادهای قبلی نشت اطلاعات (Data Breach) افشا شدهاند، بهصورت خودکار روی دستگاههای FortiGate آزمایش میشوند.
نکته مهم این است که مهاجمان نیازی به شکستن رمز عبور ندارند؛ بلکه از این واقعیت سوءاستفاده میکنند که بسیاری از کاربران و مدیران شبکه، از یک رمز عبور در چندین سرویس مختلف استفاده میکنند.
به همین دلیل، اگر اطلاعات ورود یک مدیر شبکه در گذشته از هر سرویس دیگری افشا شده باشد و همان رمز عبور برای FortiGate نیز استفاده شده باشد، احتمال موفقیت حمله بسیار بالا خواهد بود.
Brute Force و Dictionary Attack چه نقشی در FortiBleed دارند؟
در مواردی که Credential Stuffing نتیجه مطلوبی نداشته باشد، مهاجمان از روشهای دیگری مانند Brute Force و Dictionary Attack استفاده میکنند.
در حملات Brute Force، سیستم مهاجم ترکیبهای مختلف رمز عبور را بهصورت خودکار آزمایش میکند تا در نهایت به رمز صحیح برسد.
در مقابل، Dictionary Attack بر پایه فهرستی از رمزهای عبور رایج یا الگوهای متداول انجام میشود و به دلیل سرعت بیشتر، یکی از روشهای محبوب مهاجمان برای هدف قرار دادن تجهیزات شبکه محسوب میشود.
ترکیب این سه تکنیک باعث شده است کمپین FortiBleed نرخ موفقیت بالایی در نفوذ به تجهیزات Fortinet داشته باشد.
مدل دو مرحلهای FortiBleed چگونه گسترش پیدا میکند؟
یکی از ویژگیهای مهم این کمپین، استفاده از یک مدل خودتقویتشونده (Self-Reinforcing Attack Model) است.
در مرحله نخست، مهاجم با استفاده از مجموعهای از Credentialهای معتبر، تلاش میکند به تعدادی از دستگاههای FortiGate دسترسی پیدا کند.
اما پس از موفقیت اولیه، حمله وارد مرحله دوم میشود.
در این مرحله، مهاجمان ترافیک عبوری از دستگاههای آلوده را بهصورت غیرفعال (Passive Monitoring) بررسی میکنند تا اطلاعات ورود جدید، نشستهای فعال یا سایر دادههای حساس را استخراج کنند.
به بیان دیگر، هر دستگاه آلوده میتواند به منبعی برای کشف Credentialهای بیشتر تبدیل شود.
در ادامه، همین اطلاعات برای حمله به سایر تجهیزات Fortinet مورد استفاده قرار میگیرد و به این ترتیب، دامنه حمله بهصورت زنجیرهای گسترش پیدا میکند.
چرا مهاجمان فقط از اطلاعات ورود معتبر استفاده میکنند؟
یکی از نکات مهم در گزارش منتشرشده این است که مهاجمان پیش از ذخیره هر Credential، اعتبار آن را بررسی میکنند.
به عبارت دیگر، هر نام کاربری یا رمز عبوری که در پایگاه داده آنها قرار میگیرد، قبلاً روی یکی از دستگاهها آزمایش شده و موفق به ورود شده است.
این موضوع باعث میشود پایگاه داده مهاجمان تنها شامل اعتبارنامههای فعال و قابل استفاده باشد.
در نتیجه، حملات بعدی با سرعت بیشتر و احتمال موفقیت بالاتری انجام خواهند شد؛ زیرا دیگر نیازی به آزمایش میلیونها رمز عبور نامعتبر وجود ندارد.
چرا کمپین FortiBleed تهدیدی برای همه صنایع محسوب میشود؟
شرکت امنیتی Hudson Rock اعلام کرده است که ابعاد این حمله فراتر از یک صنعت یا منطقه جغرافیایی خاص است.
به گفته این شرکت، مهاجمان موفق شدهاند پایگاه دادهای از Credentialهای معتبر متعلق به سازمانهای بزرگ در حوزههای مختلف ایجاد کنند.
این موضوع نشان میدهد که تقریباً تمام صنایع، از جمله:
- بانکداری و خدمات مالی
- دولت و سازمانهای عمومی
- مخابرات
- سلامت و درمان
- آموزش
- انرژی
- شرکتهای فناوری
- زیرساختهای حیاتی
میتوانند در معرض این کمپین قرار داشته باشند.
از آنجا که فایروال FortiGate معمولاً اولین لایه دفاعی شبکههای سازمانی محسوب میشود، نفوذ به این تجهیزات میتواند مسیر ورود مهاجمان به سایر سامانههای داخلی را نیز هموار کند.
مرکز ملی امنیت سایبری بریتانیا درباره FortiBleed چه میگوید؟
مرکز ملی امنیت سایبری بریتانیا (NCSC) نیز نسبت به این کمپین هشدار داده و آن را یک تهدید جهانی علیه تجهیزات Fortinet توصیف کرده است.
بر اساس این گزارش، مهاجمان از ترکیب روشهای Brute Force، Dictionary Attack و Credential Stuffing برای هدف قرار دادن SSL VPN و رابطهای مدیریتی استفاده میکنند.
کارشناسان NCSC تأکید کردهاند که استفاده مجدد از رمزهای عبور، نگهداری حسابهای پیشفرض و نبود احراز هویت چندعاملی (MFA) از مهمترین عواملی هستند که احتمال موفقیت این حمله را افزایش میدهند.
این هشدار بار دیگر نشان میدهد که امنیت تجهیزات مرزی شبکه تنها به نصب یک فایروال محدود نمیشود؛ بلکه مدیریت صحیح Credentialها، پایش مداوم لاگها و اجرای سیاستهای امنیتی مناسب نیز نقش تعیینکنندهای در جلوگیری از نفوذ مهاجمان دارند.
چرا نسخههای قدیمی FortiOS همچنان در برابر حمله FortiBleed آسیبپذیر هستند؟
یکی از مهمترین نکاتی که در بررسی کمپین FortiBleed مطرح شده، نحوه ذخیرهسازی اعتبارنامههای مدیریتی (Administrator Credentials) در نسخههای مختلف FortiOS است.
بررسیهای شرکت امنیتی Arctic Wolf نشان میدهد که در نسخههای قدیمی سیستمعامل FortiOS، رمزهای عبور مدیران با استفاده از الگوریتم SHA-256 و همراه با Salt ذخیره میشدند. اگرچه این روش در زمان خود قابل قبول بود، اما امروزه در برابر حملات مبتنی بر Brute Force و Credential Cracking مقاومت کافی ندارد.
به همین دلیل، Fortinet در نسخههای جدید FortiOS 7.2.11، 7.4.8 و 7.6.1 الگوریتم PBKDF2 (Password-Based Key Derivation Function 2) را برای محافظت از رمزهای عبور مدیریتی معرفی کرده است؛ الگوریتمی که امنیت بسیار بیشتری در برابر حملات حدس رمز عبور و استخراج هش فراهم میکند.
ارتقای FortiOS بهتنهایی کافی نیست
یکی از مهمترین یافتههای این گزارش آن است که بهروزرسانی FortiOS لزوماً به معنای ایمن شدن کامل سیستم نیست.
در بسیاری از سازمانها، مدیران شبکه نسخه سیستمعامل را ارتقا میدهند، اما رمز عبور حساب Administrator را تغییر نمیدهند.
در چنین شرایطی، هش قدیمی مبتنی بر SHA-256 همچنان در فایلهای پیکربندی باقی میماند.
در واقع، تا زمانی که مدیر سیستم پس از ارتقا وارد حساب کاربری خود نشده و رمز عبور را مجدداً تنظیم نکند، فرآیند تبدیل هش قدیمی به PBKDF2 انجام نخواهد شد.
این موضوع باعث میشود بسیاری از تجهیزات، علیرغم استفاده از نسخههای جدید FortiOS، همچنان از مکانیزم قدیمی ذخیرهسازی رمز عبور استفاده کنند و در برابر حملات مبتنی بر Credential آسیبپذیر باقی بمانند.
واکنش رسمی Fortinet به کمپین FortiBleed
پس از انتشار گزارشهای مربوط به FortiBleed، شرکت Fortinet با انتشار بیانیهای اعلام کرد که اطلاعات منتشرشده مربوط به یک آسیبپذیری جدید نیست.
بر اساس این بیانیه، بخش قابل توجهی از دادههای موجود در پایگاه داده مهاجمان، حاصل رخدادهای قدیمی نشت اطلاعات و همچنین موفقیت حملات Brute Force و Credential Stuffing است.
به بیان دیگر، شرکت Fortinet معتقد است مهاجمان از رمزهای عبور قدیمی، تکراری یا افشاشده سوءاستفاده کردهاند و این کمپین الزاماً به وجود یک نقص امنیتی جدید در محصولات Fortinet ارتباط ندارد.
با این حال، این شرکت از تمامی مشتریان خود خواسته است که اقدامات امنیتی زیر را در اولویت قرار دهند:
- تغییر دورهای رمزهای عبور (Password Rotation)
- استفاده از رمزهای عبور قوی و منحصربهفرد
- فعالسازی احراز هویت چندعاملی (MFA)
- بهروزرسانی مستمر FortiOS
- بررسی منظم لاگهای امنیتی
توصیههای CISA برای محافظت از تجهیزات FortiGate
همزمان با انتشار این هشدار، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) مجموعهای از اقدامات فوری را برای کاهش ریسک این کمپین منتشر کرد.
کارشناسان CISA تأکید میکنند که سازمانها باید فرض کنند در صورت استفاده از رمزهای عبور قدیمی یا تکراری، احتمال افشای اطلاعات ورود آنها وجود دارد.
به همین دلیل، اجرای اقدامات زیر ضروری است.
۱. تمام نشستهای فعال را خاتمه دهید
در اولین گام، تمامی نشستهای فعال مربوط به:
- SSL VPN
- رابط مدیریتی
- حسابهای Administrator
باید پایان داده شوند.
این اقدام باعث میشود اگر مهاجم قبلاً وارد سیستم شده باشد، اتصال او قطع شود و برای دسترسی مجدد نیاز به احراز هویت داشته باشد.
۲. همه رمزهای عبور مدیریتی را بازنشانی کنید
CISA توصیه میکند تمامی رمزهای عبور Administrator و حسابهای VPN تغییر داده شوند.
این موضوع بهویژه برای تجهیزاتی که مستقیماً از اینترنت قابل دسترس هستند، اهمیت بسیار بیشتری دارد.
همچنین بهتر است از رمزهای عبوری استفاده شود که:
- طول کافی داشته باشند.
- منحصربهفرد باشند.
- در هیچ سرویس دیگری استفاده نشده باشند.
- بهصورت دورهای تغییر کنند.
۳. احراز هویت چندعاملی (MFA) را فعال کنید
فعالسازی احراز هویت چندعاملی (Multi-Factor Authentication) یکی از مؤثرترین روشها برای جلوگیری از سوءاستفاده از Credentialهای افشاشده است.
حتی اگر مهاجم موفق شود نام کاربری و رمز عبور را به دست آورد، بدون عامل دوم احراز هویت قادر به ورود نخواهد بود.
CISA بهطور ویژه استفاده از MFA مقاوم در برابر حملات فیشینگ (Phishing-Resistant MFA) را برای تمامی SSL VPNها و رابطهای مدیریتی توصیه کرده است.
۴. لاگهای امنیتی را بهصورت مستمر بررسی کنید
یکی دیگر از توصیههای مهم CISA، پایش مداوم لاگهای امنیتی است.
مدیران شبکه باید بهطور منظم لاگهای مربوط به موارد زیر را بررسی کنند:
- Firewall Logs
- VPN Logs
- Authentication Logs
- Domain Controller Logs
وجود ورودهای ناموفق متعدد، تغییرات غیرمنتظره در تنظیمات یا ایجاد حسابهای جدید میتواند نشانهای از فعالیت مهاجمان باشد.
۵. سطح حمله (Attack Surface) را کاهش دهید
هرچه تعداد سرویسهایی که مستقیماً از اینترنت در دسترس هستند کمتر باشد، احتمال موفقیت مهاجمان نیز کاهش پیدا میکند.
در همین راستا، CISA پیشنهاد میکند:
- دسترسی مدیریتی فقط از آدرسهای IP مشخص امکانپذیر باشد.
- رابط مدیریت مستقیماً در اینترنت منتشر نشود.
- سرویسهای غیرضروری غیرفعال شوند.
- دسترسی از راه دور فقط برای کاربران مجاز فعال باشد.
اجرای این اقدامات میتواند احتمال موفقیت حملات FortiBleed و سایر کمپینهای مشابه را به میزان قابل توجهی کاهش دهد.
چرا این هشدار برای مدیران شبکه اهمیت ویژهای دارد؟
FortiGate در بسیاری از سازمانها، نخستین لایه دفاعی شبکه محسوب میشود. نفوذ به این تجهیزات میتواند راه را برای دسترسی به سرورها، سامانههای داخلی، سرویسهای ابری و حتی اطلاعات حساس سازمان هموار کند.
به همین دلیل، کمپین FortiBleed تنها یک هشدار درباره چند رمز عبور افشاشده نیست؛ بلکه یادآور این واقعیت است که مدیریت صحیح اعتبارنامهها، بهروزرسانی مستمر تجهیزات امنیتی و اجرای سیاستهای امنیتی چندلایه، نقش کلیدی در محافظت از زیرساختهای سازمانی دارند.
کمپین FortiBleed چگونه کشف شد؟
ماجرای FortiBleed زمانی رسانهای شد که پژوهشگر امنیت سایبری Volodymyr “Bob” Diachenko موفق به شناسایی یک سرور بدون حفاظت شد؛ سروری که حاوی پایگاه دادهای از اعتبارنامههای معتبر (Valid Credentials) مربوط به هزاران فایروال FortiGate و دروازه VPN در سراسر جهان بود.
بررسیهای انجامشده نشان داد این سرور تنها محل نگهداری اطلاعات ورود نبود، بلکه مجموعهای از اسکریپتهای خودکار، ابزارهای اسکن اینترنت و برنامههای مورد استفاده مهاجمان نیز روی آن قرار داشت.
به گفته پژوهشگران، اطلاعات موجود در این سرور به تجهیزات امنیتی مستقر در ۱۹۴ کشور مربوط میشد که نشاندهنده ابعاد جهانی این عملیات است.
چرا FortiBleed زنگ خطری برای سازمانها محسوب میشود؟
اگرچه Fortinet اعلام کرده این رخداد ناشی از یک آسیبپذیری جدید در محصولات این شرکت نیست، اما ابعاد این کمپین نشان میدهد مدیریت ضعیف اعتبارنامهها همچنان یکی از بزرگترین چالشهای امنیت سایبری در سازمانها است.
در بسیاری از موارد، مهاجمان بدون استفاده از اکسپلویتهای پیچیده و تنها با بهرهگیری از رمزهای عبور افشاشده، رمزهای تکراری یا حسابهای پیشفرض موفق به نفوذ شدهاند.
این موضوع ثابت میکند که حتی پیشرفتهترین فایروالهای سازمانی نیز در صورت پیکربندی نادرست، استفاده از گذرواژههای ضعیف یا نبود احراز هویت چندعاملی (MFA) نمیتوانند بهتنهایی از زیرساختهای حیاتی محافظت کنند.
مهمترین درسهای امنیتی کمپین FortiBleed
کمپین FortiBleed تنها درباره تجهیزات Fortinet نیست؛ بلکه یادآور مجموعهای از اصول پایه امنیت سایبری است که رعایت نکردن آنها میتواند پیامدهای گستردهای برای هر سازمان داشته باشد.
مهمترین این درسها عبارتاند از:
- رمزهای عبور پیشفرض را بلافاصله پس از نصب تجهیزات تغییر دهید.
- از رمزهای عبور منحصربهفرد و پیچیده برای حسابهای مدیریتی استفاده کنید.
- احراز هویت چندعاملی (MFA) را برای تمامی حسابهای مدیریتی و سرویسهای VPN فعال کنید.
- سیستمعامل FortiOS و Firmware تجهیزات FortiGate را همواره به آخرین نسخه پایدار ارتقا دهید.
- پس از ارتقای FortiOS، رمز عبور مدیران را مجدداً تنظیم کنید تا هشهای قدیمی با الگوریتم PBKDF2 جایگزین شوند.
- لاگهای Firewall، VPN و Authentication را بهصورت مستمر بررسی و تحلیل کنید.
- دسترسی مدیریتی را فقط به آدرسهای IP مورد اعتماد محدود کنید.
- از انتشار مستقیم رابط مدیریت تجهیزات امنیتی روی اینترنت خودداری کنید.
- سیاستهای مدیریت چرخه عمر رمز عبور (Password Rotation) را در سازمان اجرا کنید.
- کاربران و مدیران شبکه را نسبت به خطر استفاده مجدد از Credentialها آموزش دهید.
اجرای این اقدامات میتواند احتمال موفقیت حملات مبتنی بر Credential Stuffing و Brute Force را به شکل قابل توجهی کاهش دهد.
جمعبندی
هشدار اخیر CISA درباره کمپین FortiBleed نشان میدهد که مهاجمان بیش از هر زمان دیگری بر سوءاستفاده از اعتبارنامههای افشاشده و ضعفهای مدیریتی تمرکز کردهاند. در این حمله، بیش از ۸۶ هزار دستگاه FortiGate در نقاط مختلف جهان هدف قرار گرفتهاند و بخش قابل توجهی از موفقیت مهاجمان به استفاده از رمزهای عبور تکراری، حسابهای پیشفرض و نبود احراز هویت چندعاملی بازمیگردد.
اگرچه Fortinet تأکید کرده است که این کمپین ناشی از یک آسیبپذیری جدید در محصولات این شرکت نیست، اما این رخداد اهمیت بهداشت رمز عبور (Password Hygiene)، بهروزرسانی مستمر تجهیزات امنیتی و اجرای سیاستهای امنیتی چندلایه را بیش از پیش آشکار میکند.
برای سازمانهایی که از FortiGate، SSL VPN یا سایر تجهیزات امنیت پیرامونی استفاده میکنند، اکنون بهترین زمان برای بازبینی تنظیمات امنیتی، تغییر تمامی Credentialهای حساس، فعالسازی MFA و بررسی دقیق لاگهای امنیتی است. پیشگیری از حملات آینده، تنها با ترکیب فناوری، فرآیندهای امنیتی و آموزش مستمر امکانپذیر خواهد بود.
سوالات متداول (FAQ)
FortiBleed چیست؟
FortiBleed یک کمپین گسترده امنیت سایبری است که با استفاده از Credential Stuffing، Brute Force و Dictionary Attack، دستگاههای FortiGate و SSL VPN متصل به اینترنت را هدف قرار میدهد.
آیا FortiBleed ناشی از یک آسیبپذیری جدید در Fortinet است؟
خیر. بر اساس بیانیه رسمی Fortinet، این کمپین عمدتاً از اعتبارنامههای افشاشده، رمزهای عبور ضعیف و حملات مبتنی بر حدس رمز عبور سوءاستفاده میکند و به یک آسیبپذیری جدید در محصولات این شرکت ارتباط مستقیم ندارد.
چرا بیش از ۸۶ هزار دستگاه FortiGate در معرض خطر قرار گرفتهاند؟
بخش زیادی از این تجهیزات از رمزهای عبور پیشفرض، Credentialهای تکراری یا اطلاعات ورود افشاشده استفاده میکردند. همین موضوع باعث شد مهاجمان بتوانند با استفاده از ابزارهای خودکار به تعداد زیادی از دستگاهها دسترسی پیدا کنند.
چگونه میتوان از حمله FortiBleed جلوگیری کرد؟
بهترین راهکارها عبارتاند از:
- فعالسازی احراز هویت چندعاملی (MFA)
- تغییر تمامی رمزهای عبور مدیریتی
- استفاده از رمزهای عبور قوی و منحصربهفرد
- بهروزرسانی منظم FortiOS
- بررسی مداوم لاگهای امنیتی
- محدود کردن دسترسی مدیریتی به آدرسهای IP قابل اعتماد
آیا سازمانهای ایرانی نیز باید نگران FortiBleed باشند؟
بله. هر سازمانی که از FortiGate یا SSL VPN استفاده میکند و رابط مدیریتی آن از طریق اینترنت در دسترس است، در صورت رعایت نکردن اصول امنیتی مانند MFA، مدیریت صحیح Credentialها و بهروزرسانی منظم تجهیزات، ممکن است در معرض حملات مشابه قرار گیرد.





