Fortinet แจ้งเตือนการพบกลุ่ม Hacker กำลังมุ่งเป้าโจมตีช่องโหว่ Zero-Day ใหม่ใน FortiOS และ FortiProxy เพื่อเข้าควบคุม FortiGate Firewall และเข้าถึงระบบเครือข่ายขององค์กร
CVE-2024-55591 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อ FortiOS 7.0.0 ถึง 7.0.16, FortiProxy 7.0.0 ถึง 7.0.19 และ FortiProxy 7.2.0 ถึง 7.2.12 ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีได้รับสิทธิ์ super-admin โดยการส่ง requests ที่เป็นอันตรายไปยังโมดูล Node.js websocket
Fortinet พบว่ากลุ่ม Hacker ที่โจมตีช่องโหว่ดังกล่าวได้สร้าง admin user หรือ local users แบบสุ่มบนอุปกรณ์ที่ถูกโจมตี รวมถึงเพิ่มเข้าไปใน SSL VPN user group รวมถึงการเพิ่ม หรือเปลี่ยน Firewall policy และการตั้งค่าอื่น ๆ รวมถึงการเข้าสู่ระบบ SSLVPN โดยใช้บัญชีปลอมที่สร้างไว้ก่อนหน้านี้เพื่อเข้าไปยังเครือข่ายภายในของเป้าหมาย
แม้ว่า Fortinet จะยังไม่ได้ให้ข้อมูลรายละเอียดเพิ่มเติม แต่ทาง Arctic Wolf บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงาน และระบุ Indicators of Compromise (IOCs) ที่ตรงกัน โดยระบุว่า FortiGate Firewall ที่เปิดให้เข้าถึง Management interfaces จากอินเทอร์เน็ต ได้ถูกโจมตีด้วยช่องโหว่ดังกล่าวมาตั้งแต่กลางเดือนพฤศจิกายน 2024 และคาดการณ์ว่ากลุ่ม Hacker จะใช้ช่องโหว่ดังกล่าวในการโจมตีเป็นวงกว้าง
Arctic Wolf ยังได้ระบุ Timeline สำหรับแคมเปญการโจมตีช่องโหว่ CVE-2024-55591 โดยระบุว่ามี 4 ระยะ ดังนี้:
- Vulnerability scanning (16 พฤศจิกายน 2024 ถึง 23 พฤศจิกายน 2024)
- Reconnaissance (22 พฤศจิกายน 2024 ถึง 27 พฤศจิกายน 2024)
- SSL VPN configuration (4 ธันวาคม 2024 ถึง 7 ธันวาคม 2024)
- Lateral Movement (16 ธันวาคม 2024 ถึง 27 ธันวาคม 2024)
Fortinet และ Arctic Wolf มี IOCs ที่แทบจะเหมือนกัน โดยระบุว่าสามารถตรวจสอบ Log สำหรับรายการต่อไปนี้เพื่อระบุว่ามีอุปกรณ์ในองค์กรตกเป็นเป้าหมายการโจมตีช่องโหว่หรือไม่
หลังจาก Hacker เข้าสู่ระบบผ่านช่องโหว่ Log จะแสดง source IP address และ destination IP แบบสุ่ม :
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
หลังจากที่ Hacker สร้าง admin user หรือ local users ข้อมูล Log จะถูกสร้างขึ้นโดยมีสิ่งที่ดูเหมือนชื่อ user และ source IP address ที่ถูกสร้างขึ้นแบบสุ่ม :
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"
รวมถึง Arctic Wolf ยังเตือนอีกว่า Hacker มักใช้ที่ IP address ต่อไปนี้ในการโจมตี :
1.1.1.1 127.0.0.1 2.2.2.2 8.8.8.8 8.8.4.4
Arctic Wolf ระบุว่าได้แจ้งให้ Fortinet ทราบเกี่ยวกับการโจมตีช่องโหว่เมื่อวันที่ 12 ธันวาคม 2024 และได้รับการยืนยันจาก FortiGuard Labs PSIRT เมื่อวันที่ 17 ธันวาคม 2024 ว่ารับทราบถึงการดำเนินการดังกล่าวแล้ว และอยู่ระหว่างการสอบสวน
Fortinet ได้ออกแจ้งเตือนให้ผู้ดูแลระบบปิดการใช้งาน Management interfaces จากอินเทอร์เน็ตโดยด่วน รวมถึงยังแนะนำให้ผู้ดูแลระบบปิดการใช้งาน HTTP/HTTPS administrative interface หรือจำกัด IP addresses ที่สามารถเข้าถึง IP addresses ได้ผ่าน local policy
Fortinet ยังได้ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ Hard-coded cryptographic key (CVE-2023-37936) ซึ่งช่องโหว่นี้ทำให้ Hacker จากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน ซึ่งมี Key สามารถเรียกใช้คำสั่งที่ไม่ได้รับอนุญาตผ่าน cryptographic request ที่สร้างขึ้นได้
ในช่วงเดือนธันวาคม 2024 Volexity เคยรายงานว่าพบ Hacker ชาวจีนใช้ post-exploitation toolkit ที่เรียกว่า "DeepData" เพื่อโจมตีช่องโหว่ zero-day (โดยยังไม่มี CVE ID) ใน Fortinet's FortiClient Windows VPN client เพื่อขโมยข้อมูล credentials
สองเดือนก่อนหน้านี้ Mandiant ได้เปิดเผยว่าช่องโหว่ใน Fortinet FortiManager ที่เรียกว่า "FortiJump" (CVE-2024-47575) ได้ถูกโจมตีในรูปแบบ zero-day เพื่อเจาะระบบเซิร์ฟเวอร์มากกว่า 50 เครื่องมาตั้งแต่เดือนมิถุนายน 2024
Indicators of Compromise (IOCs)
23.27.140[.]65
66.135.27[.]178
157.245.3[.]251
45.55.158[.]47
167.71.245[.]10
137.184.65[.]71
155.133.4[.]175
31.192.107[.]165
37.19.196[.]65
64.190.113[.]25
ที่มา : bleepingcomputer
You must be logged in to post a comment.