ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการตรวจสอบรายการระบบ Forti SSL VPN ที่มีช่องโหว่ชุดแรกซึ่งถูกปล่อยขายในเว็บไซต์สำหรับซื้อขายข้อมูล รายการระบบดังกล่าวสามารถถูกโจมตีได้โดยใช้ช่องโหว่ CVE-2018-13379 ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงไฟล์ใน FortiOS ได้
จากการตรวจสอบ เราพบข้อมูลที่น่าสนใจดังนี้
- จากรายการของระบบที่มีช่องโหว่ 49,557 รายการ มีหมายเลขไอพีแอดเดรสที่มีค่า Geolocation เป็นประเทศไทยทั้งหมด 901 รายการ เมื่อนำข้อมูลที่ซ้ำออกไปแล้ว เหลือ 900 รายการ
- จาก 900 หมายเลขไอพีแอดเดรสที่อยู่ในประเทศไทย ทีมตอบสนองการโจมตีและภัยคุกคามสามารถเชื่อมโยงข้อมูลเพื่อระบุหาโดเมนที่เกี่ยวข้องกับหมายเลขไอพีแอดเดรสได้ทั้งหมด 496 รายการ ส่วนอีก 404 รายการไม่ปรากฎข้อมูลเชื่อมโยงซึ่งบ่งชี้เจ้าของหรือผู้ถือครอง
- ในกลุ่ม 496 รายการซึ่งเชื่อมโยงไปยังข้อมูลโดเมนได้ มีการปรากฎของ 17 โดเมนที่ลงท้ายด้วย .co.th, 5 โดเมนที่ลงท้ายด้วย .go.th, 3 โดเมนที่ลงท้ายด้วย .ac.th และ 1 โดเมนที่ลงท้ายด้วย .mi.th ในบางกรณีพบว่าภายใต้โดเมน .go.th 1 โดเมน มีหมายเลขของไอพีแอดเดรสที่สามารถถูกโจมตีได้มากกว่า 1 หมายเลข
ทีมตอบสนองการโจมตีและภัยคุกคามจะทำการตรวจสอบและประสานงานกับผู้ใช้บริการภายใต้บริการเฝ้าระวังภัยคุกคามที่มีการใช้บริการ Threat intelligence เพื่อแจ้งเหตุและให้คำแนะนำเพิ่มเติมต่อไป
ดูเพิ่มเติม: https://www.facebook.com/isecure.mssp/posts/3889801531030569
You must be logged in to post a comment.