آسیب‌پذیری FortiWeb راه را برای نفوذ سایبری باز کرد

کمیته رکن چهارم – مهاجمان سایبری با بهره‌گیری از دستگاه‌های FortiWeb وصله‌نشده، چارچوب فرماندهی Sliver را در شبکه‌های هدف مستقر کرده‌اند. این حمله از ابزارهای متن‌باز برای دور زدن دفاع‌های سنتی بهره می‌برد.

به گزارش کمیته رکن چهارم، مجموعه‌ای از حملات هدفمند سایبری از آسیب‌پذیری‌های موجود در نسخه‌های قدیمی دستگاه‌های FortiWeb برای استقرار چارچوب فرماندهی و کنترل Sliver استفاده کرده‌اند. این حملات، روند فزاینده‌ای از بهره‌برداری مهاجمان از ابزارهای متن‌باز تهاجمی برای حفظ دسترسی پایدار در زیرساخت‌های حیاتی را برجسته می‌کند.

در این کارزار، مهاجمان دستگاه‌های edge وصله‌نشده را هدف قرار داده‌اند و با سوءاستفاده از ضعف امنیتی نسخه‌های بین ۵٫۴٫۲۰۲ تا ۶٫۱٫۶۲ FortiWeb، موفق به کاشت ایمپلنت‌های مخفی در عمق شبکه قربانیان شده‌اند. گرچه آسیب‌پذیری دقیق مورد استفاده هنوز به‌طور قطعی مشخص نیست، اما شواهدی از بهره‌برداری موازی از نقص React2Shell (با شناسه CVE-2025-55182) نیز وجود دارد.

با دسترسی اولیه به سیستم، مهاجمان از ابزار Fast Reverse Proxy برای افشای سرویس‌های داخلی استفاده کرده‌اند. بدین ترتیب، پلی مستقیم میان سامانه‌های داخلی شبکه و سرورهای کنترل مهاجم برقرار شده است. بررسی لاگ‌ها و داده‌های کشف‌شده در عملیات شکار تهدید نشان داده که beaconهای Sliver از روی دستگاه‌های آلوده به‌طور منظم با سرورهای C2 تماس برقرار می‌کنند.

زیرساخت این عملیات شامل دامنه‌هایی با ظاهر قانونی است که با تقلید از سرویس‌هایی نظیر مخازن بسته‌های لینوکس یا صفحات رسمی نهادهای دولتی منطقه‌ای، برای فریب مدافعان طراحی شده‌اند. دامنه‌هایی چون ns1.ubunutpackages.store و ns1.bafairforce.army با محتوای جعلی، بخشی از این تلاش برای مخفی‌سازی فعالیت مخرب بودند.

پیکربندی beaconها به گونه‌ای انجام شده که ارتباط دوره‌ای با سرور C2 هر ۱۲۰ ثانیه برقرار شود و با الگوی Ubuntu درون سیستم‌عامل لینوکس پنهان گردد. فایل اجرایی حاصل با نام ظاهری system-updater در مسیر /bin/.root/system-updater مستقر شده و خود را به‌عنوان یک ابزار به‌روزرسانی سیستمی جا می‌زند.

بیشتر دستگاه‌های آلوده‌شده از میان سیستم‌هایی بودند که با میان‌افزار قدیمی فعالیت می‌کردند؛ موضوعی که آن‌ها را به اهدافی آسیب‌پذیر برای این حملات سازمان‌یافته اما فرصت‌طلبانه تبدیل کرده است. از آن‌جایی که FortiWeb به‌عنوان بخشی از زیرساخت‌ قابل‌اعتماد شبکه‌ها محسوب می‌شود، استقرار موفق Sliver بر روی آن می‌تواند دسترسی عمیق و بلندمدت مهاجم به داده‌ها، ترافیک و کنترل سیستم را ممکن سازد.

این عملیات سایبری با تمرکز خاص بر مناطق جنوب آسیا، بار دیگر نیاز به به‌روزرسانی منظم سامانه‌ها، پایش تهدیدهای نوظهور و تقویت دفاع در برابر ابزارهای متن‌باز تهاجمی را برجسته می‌کند.