CISA ออกมาแจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่การเรียกใช้คำสั่งจากระยะไกล (RCE) ความรุนแรงระดับ Critical ที่ได้รับการแก้ไขไปแล้วในวันที่ 8 กุมภาพันธ์ 2024 จากทาง Fortinet
CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยใช้ HTTP request ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ
Fortinet แนะนำว่าหากผู้ดูแลระบบยังไม่สามารถทำการการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ได้ในทันที สามารถป้องกันการโจมตีจากช่องโหว่ดังกล่าวชั่วคราวได้โดยการปิดใช้งาน SSL VPN บนอุปกรณ์ไปก่อน โดยขณะนี้ทาง Fortinet ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลของช่องโหว่ดังกล่าว
การประกาศของ CISA เกิดขึ้นหนึ่งวันหลังจากที่ Fortinet เผยแพร่การอัปเดตช่องโหว่ดังกล่าว โดยระบุว่ามีความเป็นไปได้ที่ช่องโหว่ CVE-2024-21762 จะถูกนำไปใช้ในการโจมตีแล้ว รวมถึงได้เพิ่มช่องโหว่ดังกล่าวไปยังรายการ Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่พบว่าถูกใช้ในการโจมตีอยู่ในปัจจุบัน
รวมถึง CISA ได้แจ้งเตือนให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทำการอัปเดตอุปกรณ์ FortiOS ภายในเจ็ดวัน ให้เสร็จสิ้นภายในวันที่ 16 กุมภาพันธ์ 2024 โดยคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกมาในเดือนพฤศจิกายน 2021
การประกาศช่องโหว่อื่น ๆ ของ Fortinet
นอกจากนี้ทาง Fortinet ยังได้แก้ไขช่องโหว่ RCE ที่สำคัญอีก 2 รายการ (CVE-2024-23108 และ CVE-2024-23109) ในโซลูชัน FortiSIEM ในสัปดาห์เดียวกัน ซึ่งในตอนแรกทาง Fortinet ได้ปฏิเสธช่องโหว่ดังกล่า วและอ้างว่าเป็นช่องโหว่ที่ซ้ำกันกับ CVE-2023-34992 ซึ่งได้รับการแก้ไขไปแล้วในเดือนตุลาคม 2023 แต่ทาง Zach Hanley ผู้เชี่ยวชาญด้านช่องโหว่ Horizon3 ซึ่งเป็นผู้ที่ค้นพบ และรายงานช่องโหว่ดังกล่าวได้รายงานว่าช่องโหว่ CVE 2 รายการที่เพิ่งค้นพบนั้นแตกต่างจากช่องโหว่เดิมของ CVE-2023-34992 เนื่องจาก Hacker ที่ไม่จำเป็นผ่านการยืนยันตัวตนจากภายนอก สามารถใช้ช่องโหว่เหล่านี้เพื่อเรียกใช้คำสั่งบนอุปกรณ์ที่มีช่องโหว่ได้
ทั้งนี้แนะนำให้ผู้ดูแลระบบทำการอัปเดตอุปกรณ์ Fortinet ทั้งหมดโดยเร็วที่สุดในทันที เนื่องจากช่องโหว่ของ Fortinet ซึ่งส่วนใหญ่เป็น zero-day มักตกเป็นเป้าหมายการโจมตีของเหล่า Hacker เพื่อเข้าถึงเครือข่ายองค์กรเพื่อโจมตีด้วยแรนซัมแวร์ และขโมยข้อมูลออกไป
ที่มา : bleepingcomputer
You must be logged in to post a comment.