Fortinet ประกาศพบการโจมตีโดยใช้ช่องโหว่ใน FortiOS โดยมีเป้าหมายไปยังหน่วยงานของรัฐบาล

Fortinet ประกาศแจ้งเตือนการพบการโจมตีโดยการใช้ช่องโหว่ใน FortiOS ภายหลังจากที่พึ่งมีการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ไปในช่วงต้นเดือนที่ผ่านมา โดยผู้โจมตีมีเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และองค์กรขนาดใหญ่ ทำให้อาจส่งผลกระทบต่อระบบปฏิบัติการ ไฟล์ และข้อมูลเสียหายได้

โดยช่องโหว่ที่ถูกนำมาใช้ในการโจมตีมีหมายเลข CVE-2022-41328 (คะแนน CVSS 6.7/10 ความรุนแรงสูง) ซึ่งเป็นช่องโหว่การจัดการ pathname ที่ไม่เหมาะสม ('path traversal') [CWE-22] ใน FortiOS ทำให้ผู้โจมตีสามารถอ่าน และเขียนไฟล์ได้ตามที่ต้องการ โดยใช้คำสั่งบน CLI ที่สร้างขึ้นมา

รายการผลิตภัณฑ์ที่ได้รับผลกระทบ

  • FortiOS เวอร์ชัน 6.4.0 ถึง 6.4.11
  • FortiOS เวอร์ชัน 7.0.0 ถึง 7.0.9
  • FortiOS เวอร์ชัน 7.2.0 ถึง 7.2.3
  • FortiOS 6.0 และ 6.2 ทุกเวอร์ชัน

คำแนะนำ

ผู้ดูแลระบบควรเร่งอัปเดตเพื่อแก้ไขช่องโหว่

  • FortiOS เวอร์ชัน 6.4.12 และใหม่กว่า
  • FortiOS เวอร์ชัน 7.0.10 และใหม่กว่า
  • FortiOS เวอร์ชัน 7.2.4 ขึ้นไป

โดยในสัปดาห์ที่ผ่านมาทาง Fortinet ได้เปิดเผยการพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวโจมตีไปยัง Firewall ของลูกค้าหลายแห่ง

การพบมัลแวร์ขโมยข้อมูล

เหตุการณ์ดังกล่าวถูกพบภายหลังจากอุปกรณ์ Fortigate ที่ถูกโจมตีได้หยุดทำงานพร้อมกับข้อความ "System enters error-mode due to FIPS error: Firmware Integrity self-test failed" และไม่สามารถบูตขึ้นมาได้อีกครั้ง

โดยทาง Fortinet ระบุว่า เหตุการณ์นี้เกิดขึ้นเนื่องจากอุปกรณ์ที่เปิดใช้งาน FIPS จะทำการตรวจสอบความสมบูรณ์ของส่วนประกอบของระบบ และได้ถูกกำหนดค่าให้ปิด และหยุดการบูตโดยอัตโนมัติ เพื่อป้องกันเข้าถึงเครือข่ายหากตรวจพบการโจมตี

โดย Fortigate Firewall เหล่านี้ถูกโจมตีผ่านอุปกรณ์ FortiManager บนเครือข่ายของเหยื่อ เนื่องจากพบว่า Firewall ทั้งหมดหยุดทำงานพร้อมกัน โดยใช้วิธีเดียวกันในการโจมตี คือ FortiGate Path Traversal ซึ่งถูกเปิดใช้งานในเวลาเดียวกันกับที่สคริปต์อันตรายได้ถูกใช้ผ่าน FortiManager

จากการตรวจสอบพบว่า Hacker ได้ทำการแก้ไข firmware image (/sbin/init) เพื่อเปิดใช้งานเพย์โหลด (/bin/fgfm) ก่อนที่กระบวนการบูตจะเริ่มต้นขึ้น โดยมัลแวร์ดังกล่าวมีความสามารถในการส่งออกข้อมูล ดาวน์โหลด และเขียนไฟล์ หรือเปิด remote shell จากระยะไกล ได้เมื่อได้รับ ICMP packet ที่มีสตริง ";7(Zu9YTsA7qQ#vm"

การโจมตีในระบบของหน่วยงานรัฐบาล

Fortinet ได้เปิดเผยว่า พบหลักฐานบางอย่างที่แสดงให้เห็นว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังเครือข่ายของรัฐบาล รวมถึง Hacker ยังมีความสามารถขั้นสูงในการ Reverse-Engineering ระบบปฏิบัติการของอุปกรณ์ FortiGate อีกด้วย แสดงให้เห็นว่า Hacker ดังกล่าวมีความเข้าใจใน FortiOS และฮาร์ดแวร์พื้นฐานอย่างเชี่ยวชาญ

ทาง Fortinet ได้ประกาศแจ้งเตือนให้ผู้ดูแลระบบเร่งดำเนินการอัปเดตเพื่อแก้ไขช่องโหว่โดยเร็วที่สุด

 

 

 

 

 

 

 

 

 

ที่มา IOC : fortinet

ที่มา : bleepingcomputer