Fortinet ได้แก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ FortiClient Enterprise Management Server (EMS) ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ได้
FortiClient EMS ช่วยให้ผู้ดูแลระบบสามารถจัดการอุปกรณ์ที่เชื่อมต่อกับเครือข่ายองค์กร และยังช่วยให้สามารถ deploy ซอฟต์แวร์ FortiClient และกำหนดโปรไฟล์ด้านความปลอดภัยบน Windows
CVE-2023-48788 (คะแนนCVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ SQL injection ใน DB2 Administration Server (DAS) component ซึ่งถูกค้นพบ และรายงานโดย National Cyber Security Center (NCSC) ของสหราชอาณาจักร และ Thiago Santana นักพัฒนาของ Fortinet
โดยช่องโหว่ดังกล่าวทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ โดยมีความซับซ้อนต่ำ และไม่ต้องมีการโต้ตอบจากผู้ใช้ ซึ่งส่งผลกระทบต่อ FortiClient EMS เวอร์ชัน 7.0 (7.0.1 ถึง 7.0.10) และ 7.2 (7.2.0 ถึง 7.2.2)
ทั้งนี้ทาง Fortinet ยังไม่ได้เปิดเผยว่ามีหลักฐานการโจมตีของช่องโหว่ CVE-2023-48788 เกิดขึ้นจริงแล้วหรือไม่
ทีมนักวิจัยของ Horizon3 ได้ออกมายืนยันถึงความรุนแรงของช่องโหว่ดังกล่าว พร้อมทั้งประกาศว่าจะเปิดเผยชุดสาธิตการโจมตี หรือ proof-of-concept exploit (PoC) ในสัปดาห์หน้า
นอกจากนี้ทาง Fortinet ได้แก้ไขช่องโหว่ out-of-bounds write ระดับ Critical ( CVE-2023-42789 ) ใน FortiOS และ FortiProxy captive Portal ที่อาจทำให้ Hacker ที่อยู่ภายในเครือข่าย ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ โดยใช้ HTTP requests ที่เป็นอันตราย
รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงอีก 2 รายการ ได้แก่ ช่องโหว่ improper access control (CVE-2023-36554) ใน FortiWLM MEA สำหรับ FortiManager และ CSV injection (CVE-2023-47534) ใน FortiClient EMS ที่ทำให้ Hacker สามารถเรียกใช้คำสั่ง หรือ code บนระบบที่มีช่องโหว่ได้
โดยในเดือนกุมภาพันธ์ 2024 Fortinet ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-21762) ระดับ critical ในระบบปฏิบัติการ FortiOS และ FortiProxy secure web proxy ซึ่งทาง CISA ได้ยืนยันว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตี และได้สั่งให้หน่วยงานรัฐบาลกลางอัปเดตแพตซ์ช่องโหว่อุปกรณ์ FortiOS และ FortiProxy ภายในเจ็ดวัน
ทั้งนี้ช่องโหว่ Fortinet มักถูกใช้เพื่อโจมตีเครือข่ายองค์กรในการโจมตีด้วย ransomware และ zero-day ตัวอย่างเช่น ในเดือนกุมภาพันธ์ 2024 Fortinet พบกลุ่ม Volt Typhoon ของจีน ได้ใช้ช่องโหว่ FortiOS SSL VPN 2 รายการ (CVE-2022-42475 และ CVE-2023-27997) เพื่อใช้มัลแวร์ Coathanger remote access trojan (RAT) ในการวาง backdoor บนเครือข่ายทหารของกระทรวงกลาโหมเนเธอร์แลนด์
ที่มา : bleepingcomputer
You must be logged in to post a comment.