Fortinet แจ้งเตือนช่องโหว่ auth bypass ระดับ Critical กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เมื่อวันที่ 10 ตุลาคมที่ผ่านมา Fortinet ออกมายืนยันว่าช่องโหว่ authentication bypass ที่พึ่งมีแพตซ์อัปเดตออกมาเมื่อสัปดาห์ที่แล้ว กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-40684 สามารถทำให้ผู้โจมตี bypass การยืนยันตัวตนบนอินเทอร์เฟซสำหรับผู้ดูแลระบบ ซึ่งจะทำให้ผู้โจมตีสามารถเข้าสู่ระบบไฟร์วอลล์ FortiGate, เว็บพร็อกซีของ FortiProxy และอินสแตนซ์การจัดการภายในองค์กร FortiSwitch Manager (FSWM) ได้

โดย Fortinet ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าวไปแล้วเมื่อวันพฤหัสบดีที่ผ่านมา นอกจากนี้ยังมีการแจ้งเตือนลูกค้าบางรายผ่านทางอีเมล เพื่อแจ้งให้ปิดการใช้งานอินเทอร์เฟซที่สามารถเข้าใช้งานได้จากภายนอกบนอุปกรณ์ที่มีช่องโหว่อย่างเร่งด่วน

โดยในวันนี้ Fortinet ออกมายอมรับว่าพบการโจมตีจากช่องโหว่ CVE-2022-40684 แล้วอย่างน้อยหนึ่งครั้ง

"Fortinet ทราบถึงการนำช่องโหว่ดังกล่าวไปใช้ประโยชน์ และแนะนำให้ตรวจสอบระบบด้วย IOC ที่มีลักษณะ user="Local_Process_Access," จาก log ของอุปกรณ์"

Version ของ Fortinet ที่อาจถูกโจมตีด้วยช่องโหว่ CVE-2022-40 หากไม่ได้รับการแก้ไข มีดังนี้

FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiSwitchManager : 7.2.0, 7.0.0

โดย Fortinet แนะนำให้ผู้ใช้งานอัปเดตอุปกรณ์ที่มีช่องโหว่เป็น FortiOS 7.0.7 หรือ 7.2.2 ขึ้นไป, FortiProxy 7.0.7 หรือ 7.2.1 ขึ้นไป และ FortiSwitchManager 7.2.1 ขึ้นไปเพื่อป้องกันการถูกโจมตี

PoC exploit ถูกเผยแพร่ออกสู่สาธารณะ

ข้อมูลจาก Shodan พบว่าสามารถเข้าถึง Firewall FortiGate ได้มากกว่า 140,000 ตัวจากอินเทอร์เน็ต และมีแนวโน้มว่าจะถูกโจมตีหาก admin management interfaces สามารถเข้าถึงได้โดยตรง

วิธีการแก้ไข และคำแนะนำเพิ่มเติมหากยังไม่สามารถอัปเดตแพตซ์ได้

  • ควรปิดการเข้าถึง administrative interface จากภายนอก หรือจำกัดการเข้าถึงเฉพาะ IP ที่ได้รับอนุญาตเท่านั้น

ที่มา : bleepingcomputer