CISA แจ้งเตือนช่องโหว่ RCE ระดับ critical ของ Fortinet ที่กำลังถูกนำมาใช้ในการโจมตี

วันที่ 9 ตุลาคม 2024 CISA ได้แจ้งเตือนว่าพบผู้โจมตีที่กำลังใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ critical ของ FortiOS ในการโจมตีจริงแล้ว

ช่องโหว่ CVE-2024-23113 เกิดจากการที่ fgfmd daemon ยอมรับ format string ที่ควบคุมจากภายนอกเป็นรูปแบบ argument ซึ่งช่วยให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถเรียกใช้คำสั่ง หรือโค้ดที่กำหนดเองบนอุปกรณ์ที่ยังไม่ได้รับการแก้ไขได้ ด้วยวิธีการโจมตีที่มีความซับซ้อนต่ำ และไม่ต้องการการโต้ตอบจากผู้ใช้งาน

ตามที่ Fortinet อธิบายไว้ fgfmd daemon ที่มีช่องโหว่นี้จะทำงานบน FortiGate และ FortiManager โดยทำหน้าที่จัดการ authentication requests ทั้งหมด และจัดการข้อความ keep-alive ระหว่างอุปกรณ์ทั้งสอง (รวมถึงการดำเนินการที่ตามมา เช่น การสั่งให้กระบวนการอื่น ๆ อัปเดตไฟล์ หรือฐานข้อมูล)

CVE-2024-23113 ส่งผลกระทบกับ FortiOS เวอร์ชัน 7.0 และใหม่กว่า, FortiPAM เวอร์ชัน 1.0 และสูงกว่า, FortiProxy เวอร์ชัน 7.0 และสูงกว่า และ FortiWeb เวอร์ชัน 7.4

ทางบริษัทได้เปิดเผย และแก้ไขช่องโหว่ด้านความปลอดภัยนี้ในเดือนกุมภาพันธ์ 2024 โดยแนะนำให้ผู้ดูแลระบบลบการเข้าถึง fgfmd daemon จากทุกอินเทอร์เฟซ เพื่อเป็นมาตรการลดผลกระทบที่ออกแบบมาเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

Fortinet ระบุว่า “โปรดทราบว่าการดำเนินการนี้จะป้องกันการ discovery FortiGate จาก FortiManager แต่ยังสามารถเชื่อมต่อจาก FortiGate ได้”

โปรดทราบเพิ่มเติมว่านโยบาย local-in ที่อนุญาตการเชื่อมต่อ FGFM จาก IP ที่กำหนดเท่านั้น จะช่วยลดความเสี่ยงต่อการโจมตีได้ แต่จะไม่สามารถป้องกันการใช้ประโยชน์จากช่องโหว่นี้ผ่าน IP นั้นได้ ดังนั้นจึงควรใช้เป็นมาตรการสำหรับลดผลกระทบ และไม่ใช่วิธีการแก้ไขปัญหาอย่างสมบูรณ์

หน่วยงานรัฐบาลกลางถูกสั่งให้ทำการแก้ไขช่องโหว่ภายในสามสัปดาห์

ในขณะที่ Fortinet ยังไม่ได้อัปเดตคำแนะนำในเดือนกุมภาพันธ์ เพื่อยืนยันการพบการโจมตีจาก CVE-2024-23113 แต่ CISA ได้เพิ่มช่องโหว่นี้ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities Catalog) ในวันพุธที่ผ่านมา

หน่วยงานรัฐบาลกลางของสหรัฐฯ ยังถูกกำหนดให้ต้องปกป้องอุปกรณ์ FortiOS บนเครือข่ายของตนจากการโจมตีที่กำลังดำเนินการอยู่ภายในสามสัปดาห์ โดยจะต้องดำเนินการให้เสร็จสิ้นภายในวันที่ 30 ตุลาคม 2024 ตามที่กำหนดในคำสั่ง Binding operational directive (BOD 22-01) ที่ออกในเดือนพฤศจิกายน 2021

หน่วยข่าวกรอง และความมั่นคงทางทหารของเนเธอร์แลนด์ (MIVD) แจ้งเตือนในเดือนมิถุนายน 2024 ว่าผู้ไม่หวังดีจากจีนได้ใช้ช่องโหว่ RCE ความรุนแรงระดับ Critical ของ FortiOS อีกช่องโหว่หนึ่ง (CVE-2022-42475) ระหว่างปี 2022 ถึง 2023 เพื่อโจมตี และแพร่กระจายมัลแวร์ในอุปกรณ์รักษาความปลอดภัยเครือข่าย Fortigate อย่างน้อย 20,000 เครื่อง

ที่มา : bleepingcomputer