در اواخر ژوئن ۲۰۲۶، جامعه امنیت سایبری با یکی از گسترده‌ترین نشت‌های اعتبار در تجهیزات شبکه مواجه شد که تحت عنوان FortiBleed شناخته می‌شود. این حادثه که منجر به افشای اعتبار نزدیک به ۸۶,۶۴۴ دستگاه FortiGate گردید، زنگ خطری برای سازمان‌هایی است که به تجهیزات VPN و Firewall برای تامین امنیت محیط‌های دورکار متکی هستند. در این مقاله، ما از دیدگاه دفاعی (Defensive Security) به بررسی این تهدید و نحوه شناسایی آن توسط تیم‌های SOC می‌پردازیم.

تحلیل فنی حمله FortiBleed

حمله FortiBleed برخلاف بسیاری از Zero-dayها که بر پایه باگ‌های حافظه هستند، در مرحله نهایی خود بر روی Credential Leakage یا نشت اعتبارها تمرکز دارد. مهاجمان با استفاده از تکنیک‌های پیشرفته جمع‌آوری داده، توانسته‌اند دسترسی‌های مدیریتی هزاران دستگاه را به دست آورند.

زنجیره حمله 

۱. شناسایی: شناسایی نسخه‌های آسیب‌پذیر FortiOS در اینترنت. ۲. استخراج: استفاده از نقاط ضعف در مدیریت نشست‌ها (Session Management) برای استخراج توکن‌ها یا رمزهای عبور. ۳. نفوذ: ورود به پنل مدیریتی با استفاده از اعتبارهای لو رفته. ۴. تثبیت: ایجاد اکانت‌های پشتیبان (Backdoor Accounts) برای حفظ دسترسی.

نقش تیم SOC در مقابله با FortiBleed

تیم‌های مرکز عملیات امنیت (SOC) باید از حالت "منتظر" به حالت "شکارچی" (Threat Hunting) تغییر وضعیت دهند. تمرکز اصلی باید بر روی شناسایی رفتارهای غیرعادی در دسترسی‌های VPN باشد.

استراتژی‌های شناسایی (Detection Strategy)

برای شناسایی نفوذ در محیط Splunk یا هر SIEM دیگر، باید روی موارد زیر تمرکز کرد:

• ورودهای غیرعادی: شناسایی ورودهای موفق از کشورهای غیرمنتظره یا در ساعات غیرکاری.

• تغییرات پیکربندی: شناسایی دستورات تغییر پسورد یا ایجاد کاربر جدید در لاگ‌های سیستم.

• ترافیک خروجی: شناسایی ارتباطات مشکوک از تجهیزات FortiGate به IPهای ناشناس (C2 Servers).

اقدامات پیشگیرانه و اصلاحی

سازمان‌ها باید بلافاصله مراحل زیر را اجرا کنند: ۱. تغییر کلی اعتبارها: تمام رمزهای عبور مدیریتی تغییر داده شوند. ۲. اجبار در MFA: فعال‌سازی چندعاملی برای تمامی دسترسی‌های مدیریتی و VPN. ۳. بررسی لاگ‌ها: بازبینی جامع لاگ‌های دسترسی در ۳۰ روز گذشته. ۴. به‌روزرسانی: نصب آخرین پچ‌های امنیتی ارائه شده توسط Fortinet.

جدول نگاشت MITRE ATT&CK (MITRE ATT&CK Mapping)