Fortinet ประกาศแจ้งเตือนการพบการโจมตีโดยการใช้ช่องโหว่ใน FortiOS ภายหลังจากที่พึ่งมีการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ไปในช่วงต้นเดือนที่ผ่านมา โดยผู้โจมตีมีเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และองค์กรขนาดใหญ่ ทำให้อาจส่งผลกระทบต่อระบบปฏิบัติการ ไฟล์ และข้อมูลเสียหายได้
โดยช่องโหว่ที่ถูกนำมาใช้ในการโจมตีมีหมายเลข CVE-2022-41328 (คะแนน CVSS 6.7/10 ความรุนแรงสูง) ซึ่งเป็นช่องโหว่การจัดการ pathname ที่ไม่เหมาะสม ('path traversal') [CWE-22] ใน FortiOS ทำให้ผู้โจมตีสามารถอ่าน และเขียนไฟล์ได้ตามที่ต้องการ โดยใช้คำสั่งบน CLI ที่สร้างขึ้นมา
รายการผลิตภัณฑ์ที่ได้รับผลกระทบ
- FortiOS เวอร์ชัน 6.4.0 ถึง 6.4.11
- FortiOS เวอร์ชัน 7.0.0 ถึง 7.0.9
- FortiOS เวอร์ชัน 7.2.0 ถึง 7.2.3
- FortiOS 6.0 และ 6.2 ทุกเวอร์ชัน
คำแนะนำ
ผู้ดูแลระบบควรเร่งอัปเดตเพื่อแก้ไขช่องโหว่
- FortiOS เวอร์ชัน 6.4.12 และใหม่กว่า
- FortiOS เวอร์ชัน 7.0.10 และใหม่กว่า
- FortiOS เวอร์ชัน 7.2.4 ขึ้นไป
โดยในสัปดาห์ที่ผ่านมาทาง Fortinet ได้เปิดเผยการพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวโจมตีไปยัง Firewall ของลูกค้าหลายแห่ง
การพบมัลแวร์ขโมยข้อมูล
เหตุการณ์ดังกล่าวถูกพบภายหลังจากอุปกรณ์ Fortigate ที่ถูกโจมตีได้หยุดทำงานพร้อมกับข้อความ "System enters error-mode due to FIPS error: Firmware Integrity self-test failed" และไม่สามารถบูตขึ้นมาได้อีกครั้ง
โดยทาง Fortinet ระบุว่า เหตุการณ์นี้เกิดขึ้นเนื่องจากอุปกรณ์ที่เปิดใช้งาน FIPS จะทำการตรวจสอบความสมบูรณ์ของส่วนประกอบของระบบ และได้ถูกกำหนดค่าให้ปิด และหยุดการบูตโดยอัตโนมัติ เพื่อป้องกันเข้าถึงเครือข่ายหากตรวจพบการโจมตี
โดย Fortigate Firewall เหล่านี้ถูกโจมตีผ่านอุปกรณ์ FortiManager บนเครือข่ายของเหยื่อ เนื่องจากพบว่า Firewall ทั้งหมดหยุดทำงานพร้อมกัน โดยใช้วิธีเดียวกันในการโจมตี คือ FortiGate Path Traversal ซึ่งถูกเปิดใช้งานในเวลาเดียวกันกับที่สคริปต์อันตรายได้ถูกใช้ผ่าน FortiManager
จากการตรวจสอบพบว่า Hacker ได้ทำการแก้ไข firmware image (/sbin/init) เพื่อเปิดใช้งานเพย์โหลด (/bin/fgfm) ก่อนที่กระบวนการบูตจะเริ่มต้นขึ้น โดยมัลแวร์ดังกล่าวมีความสามารถในการส่งออกข้อมูล ดาวน์โหลด และเขียนไฟล์ หรือเปิด remote shell จากระยะไกล ได้เมื่อได้รับ ICMP packet ที่มีสตริง ";7(Zu9YTsA7qQ#vm"
การโจมตีในระบบของหน่วยงานรัฐบาล
Fortinet ได้เปิดเผยว่า พบหลักฐานบางอย่างที่แสดงให้เห็นว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังเครือข่ายของรัฐบาล รวมถึง Hacker ยังมีความสามารถขั้นสูงในการ Reverse-Engineering ระบบปฏิบัติการของอุปกรณ์ FortiGate อีกด้วย แสดงให้เห็นว่า Hacker ดังกล่าวมีความเข้าใจใน FortiOS และฮาร์ดแวร์พื้นฐานอย่างเชี่ยวชาญ
ทาง Fortinet ได้ประกาศแจ้งเตือนให้ผู้ดูแลระบบเร่งดำเนินการอัปเดตเพื่อแก้ไขช่องโหว่โดยเร็วที่สุด
ที่มา IOC : fortinet
ที่มา : bleepingcomputer
You must be logged in to post a comment.