พบอุปกรณ์ Fortinet ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตกว่า 16,000 รายการ ถูกโจมตีจาก Symlink Backdoor ตัวใหม่ ที่ทำให้สามารถเข้าถึงไฟล์สำคัญแบบ read-only บนอุปกรณ์ที่ถูกโจมตีได้
การเปิดเผยข้อมูลนี้ได้รับการรายงานโดยแพลตฟอร์มการติดตามภัยคุกคามอย่าง The Shadowserver Foundation โดยในเบื้องต้นได้รายงานว่ามีอุปกรณ์ Fortinet กว่า 14,000 รายการที่ถูกโจมตีแล้ว
Piotr Kijewski จาก Shadowserver ให้ข้อมูลกับ BleepingComputer ว่า ขณะนี้องค์กรด้านความปลอดภัยทางไซเบอร์ได้ตรวจพบอุปกรณ์ Fortinet 16,620 รายการที่ได้รับผลกระทบจากกลไกการฝังตัวในระบบที่ถูกโจมตี
ซึ่งก่อนหน้านี้ Fortinet ได้แจ้งเตือนลูกค้าว่าพวกเขาได้ค้นพบกลไกการฝังตัวในระบบรูปแบบใหม่ที่ใช้โดย Hacker เพื่อรักษาการเข้าถึงจากระยะไกลแบบ read-only ไปยังไฟล์ใน root filesystem ของอุปกรณ์ FortiGate ที่เคยถูกโจมตี แต่ขณะนี้ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว
ซึ่งการโจมตีดังกล่าวไม่ได้เกิดจากช่องโหว่ใหม่ที่พึ่งถูกค้นพบ แต่เกี่ยวข้องกับการโจมตีที่เริ่มมาตั้งแต่ปี 2023 ต่อเนื่องถึงปี 2024 โดยกลุ่ม Hacker ที่ใช้ช่องโหว่ Zero Days เพื่อเข้าถึงอุปกรณ์ FortiOS
เมื่อ Hacker สามารถเข้าถึงอุปกรณ์ได้แล้ว จะสร้าง symbolic links ใน language files folder ไปยัง root file system บนอุปกรณ์ที่เปิดใช้งาน SSL-VPN เนื่องจาก language files เข้าถึงได้แบบสาธารณะบนอุปกรณ์ FortiGate ที่เปิดใช้งาน SSL-VPN กลุ่ม Hacker จึงสามารถเรียกดูโฟลเดอร์นั้น และเข้าถึง root file system เพื่ออ่านข้อมูลได้อย่างต่อเนื่อง แม้ว่าจะแก้ไขช่องโหว่เบื้องต้นแล้วก็ตาม
ส่งผลให้ถึงแม้ว่าอุปกรณ์ Fortinet ที่มีช่องโหว่ของลูกค้าจะได้รับการอัปเดตด้วย FortiOS เวอร์ชันที่แก้ไขช่องโหว่เแล้วก็ตาม แต่หากถูกติดตั้ง symbolic links และได้ฝังตัวไปในระบบแล้ว ก็จะทำให้ Hacker สามารถเข้าถึง file system ของอุปกรณ์ได้ในแบบ read-only ซึ่งอาจรวมถึงการกำหนดค่าต่าง ๆ ด้วย
ในเดือนเมษายน 2025 ทาง Fortinet เริ่มแจ้งเตือนลูกค้าเป็นการส่วนตัวผ่านอีเมลเกี่ยวกับอุปกรณ์ FortiGate ที่ FortiGuard ตรวจพบว่าถูกโจมตีด้วย Symlink Backdoor
Fortinet ได้เปิดตัว AV/IPS signature เวอร์ชันใหม่ที่จะตรวจจับ และกำจัด symbolic link บนอุปกรณ์ที่ถูกโจมตี การอัปเดตนี้ยังป้องกันไม่ให้ไฟล์ และโฟลเดอร์ที่ไม่รู้จักถูกเรียกใช้งานโดยเว็บเซิร์ฟเวอร์ในตัวอีกด้วย
ทั้งนี้หากผู้ใช้งานตรวจพบว่าอุปกรณ์ของตนได้ถูกโจมตีจาก Symlink Backdoor แล้ว ก็เป็นไปได้ว่า Hacker อาจเข้าถึงไฟล์ configuration ล่าสุดได้ รวมถึงข้อมูล credentials ดังนั้นข้อมูล credentials ทั้งหมดจะต้องทำการรีเซ็ตทันที และผู้ดูแลระบบควรปฏิบัติตามขั้นตอนอื่น ๆ ตามคู่มือที่ทาง Fortinet แนะนำ [https://community[.]fortinet[.]com/t5/FortiGate/Technical-Tip-Recommended-steps-to-execute-in-case-of-a/ta-p/230694]
ที่มา : bleepingcomputer
You must be logged in to post a comment.