Eski FortiGate zaifligi orqali xakerlar 2FA himoyasini chetlab o‘tmoqda
Kiberjinoyatchilar tomonidan uch yildan ortiq vaqt avval aniqlangan va allaqachon xavfsizlik yangilanishini chiqargan Fortinet FortiGate qurilmalaridagi jiddiy zaiflik yana faol ekspluatatsiya qilinayotgani aniqlandi. Ushbu kamchilik orqali hujumchilar ikki bosqichli autentifikatsiya (2FA) himoyasini chetlab o‘tib, firewall’lar, VPN xizmatlari va hatto administrator panellariga ruxsatsiz kirish imkoniga ega bo‘lishmoqda.
Fortinet kompaniyasining PSIRT (Product Security Incident Response Team) jamoasi bu hujumlar real muhitda kuzatilayotganini tasdiqlab, administratorlarni zudlik bilan tizim sozlamalarini tekshirishga va himoya choralarini kuchaytirishga chaqirdi.
Zaiflik nimadan kelib chiqadi?
Mazkur muammo FG-IR-19-283 (CVE-2020-12812) identifikatori ostida yuritiladi va ilk bor 2020-yil iyul oyida aniqlangan. Zaiflikning asosiy sababi — FortiGate va LDAP (masalan, Active Directory) tizimlari foydalanuvchi nomlarini qayta ishlashdagi farqdir.
- FortiGate foydalanuvchi nomlarini katta-kichik harflarga sezgir (case-sensitive) tarzda qabul qiladi;
- LDAP serverlari esa aksariyat hollarda katta-kichik harflarni farqlamaydi.
Aynan shu nomuvofiqlik noto‘g‘ri sozlangan muhitda jiddiy xavf tug‘diradi.
Hujum qanday amalga oshiriladi?
Aytaylik, FortiGate’da “jsmith” nomli mahalliy foydalanuvchi mavjud bo‘lib, u uchun 2FA yoqilgan va u LDAP’dagi “Domain Users” guruhiga ham a’zo.
- Agar foydalanuvchi “jsmith” nomi bilan kirsa — 2FA token talab qilinadi.
- Ammo hujumchi “Jsmith”, “jSmith” yoki boshqa harf variantlari bilan urinsa, FortiGate bu foydalanuvchini mahalliy hisob bilan moslashtira olmaydi.
- Natijada tizim ikkilamchi autentifikatsiya siyosatiga o‘tadi va LDAP orqali tekshiruv amalga oshadi.
- Agar LDAP paroli to‘g‘ri bo‘lsa, 2FA butunlay chetlab o‘tiladi.
Bu esa hujumchiga VPN orqali tarmoqqa kirish yoki administrator huquqlarini qo‘lga kiritish imkonini beradi.
Qaysi holatlarda tizim xavf ostida bo‘ladi?
Fortinet’ga ko‘ra, hujum muvaffaqiyatli bo‘lishi uchun quyidagi shartlar mavjud bo‘lishi kerak:
- FortiGate’da 2FA yoqilgan mahalliy foydalanuvchilar bo‘lishi;
- Ushbu foydalanuvchilar LDAP guruhlariga a’zo bo‘lishi;
- LDAP guruhlari VPN yoki admin kirish siyosatlarida ishlatilishi.
Agar ushbu shartlar mos tushsa, tizim jiddiy xavf ostida qoladi.
Xavf darajasi va oqibatlar
Muvaffaqiyatli hujum tizim allaqachon komprometatsiya qilinganidan darak beradi. Bunday holatda:
- hujumchilar ichki tarmoqqa erkin kirishi;
- lateral harakat orqali boshqa serverlarga o‘tishi;
- ransomware joylashtirishi yoki maxfiy ma’lumotlarni o‘g‘irlashi mumkin.
Fortinet barcha administratorlarga bunday alomatlar aniqlansa, barcha parollarni (LDAP/AD hisoblari bilan birga) zudlik bilan almashtirishni va tizim jurnallarini sinchiklab tahlil qilishni tavsiya etadi.
Himoyalanish va tavsiya etilgan choralar
Mutaxassislar quyidagi choralarni zudlik bilan amalga oshirishni tavsiya qilmoqda:
- Firmware’ni yangilash
Quyidagi yoki undan yuqori versiyalarga o‘ting:- FortiOS 6.0.10+
- FortiOS 6.2.4+
- FortiOS 6.4.1+
- Foydalanuvchi nomlari sezgirligini o‘chirish
Agar yangilash imkoni bo‘lmasa, foydalanuvchi nomlarini katta-kichik harflarga nisbatan bir xil qabul qilish sozlamasini yoqing. - Keraksiz LDAP guruhlarini olib tashlash
Siyosatlarda faqat zarur guruhlarni qoldiring. Ikkilamchi guruhlar yo‘q bo‘lsa, hujum muvaffaqiyatsiz bo‘ladi. - Loglarni tekshirish
Autentifikatsiya jarayonlarida harf variantlari bilan bog‘liq shubhali urinishlarni aniqlang.
Ushbu holat yana bir bor shuni ko‘rsatadiki, hatto eski va allaqachon yamalgan zaifliklar ham noto‘g‘ri konfiguratsiya sabab jiddiy xavfga aylanishi mumkin. FortiGate kabi muhim xavfsizlik qurilmalari himoya chizig‘ining birinchi pog‘onasida turadi va ularning sozlamalari muntazam auditdan o‘tkazilishi shart.
Vaqtida ko‘rilmagan choralar esa kompaniya tarmoqlarini xakerlar, ransomware va keng ko‘lamli kiberhujumlar uchun ochiq qoldiradi. Shu bois, bugun choralar ko‘rish — ertangi katta yo‘qotishlarning oldini oladi.
