ชุดโปรแกรมสำหรับทดสอบการโจมตี (Proof-of-Concept: PoC) สำหรับช่องโหว่ Zero-Day ระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ของ Fortinet หลายรายการ ทำให้เกิดข้อกังวลเร่งด่วนเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายขององค์กร
ช่องโหว่นี้มีหมายเลข CVE-2025-32756 มีคะแนน CVSS ที่ 9.8 โดยทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านช่องโหว่แบบ stack-based buffer overflow
ช่องโหว่นี้อยู่ในกระบวนการประมวลผลพารามิเตอร์คุกกี้ AuthHash ภายใน endpoint /remote/hostcheck_validate ซึ่งพบในผลิตภัณฑ์ของ Fortinet หลายรายการ
ช่องโหว่นี้เกิดจากการตรวจสอบขอบเขตของค่าพารามิเตอร์ "enc" ที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถทำให้เกิดเงื่อนไข buffer overflow ได้โดยไม่ต้องใช้ข้อมูล credentials สำหรับการยืนยันตัวตน
ชุดคำสั่งโจมตีที่ถูกเผยแพร่ใช้ภาษา Python โดยอาศัยช่องโหว่แบบ stack-based buffer overflow เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน โดยทำงานผ่าน HTTP POST request ที่ถูกปรับแต่งมาโดยเฉพาะ ไปยัง endpoint /remote/hostcheck_validate ซึ่งจะมีการจัดการกับพารามิเตอร์ enc ภายในคุกกี้ AuthHash
python3 fortinet_cve_2025_32756_poc.py target_ip [-p port] [-d]
ผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่ FortiVoice, FortiMail, FortiNDR, FortiRecorder และ FortiCamera โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีจากภายนอกสามารถรันโค้ด หรือคำสั่งใด ๆ ก็ได้ตามต้องการ ผ่าน HTTP request ที่ถูกปรับแต่งมาเฉพาะ ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างสมบูรณ์
ยืนยันเหตุการณ์การโจมตีจริง
Fortinet ได้ยืนยันว่า ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง โดยกำหนดเป้าหมายไปที่การติดตั้ง FortiVoice โดยเฉพาะ
ทีมรักษาความปลอดภัยของบริษัทตรวจพบพฤติกรรมของผู้โจมตีหลังจากการโจมตีผ่านช่องโหว่ได้สำเร็จ ซึ่งรวมถึงการดำเนินการแสกนเครือข่าย และการจัดการ system log
รูปแบบการโจมตีที่สังเกตพบ ได้แก่ การสแกนเครือข่ายอุปกรณ์, การลบ system crash logs อย่างเป็นระบบ และการเปิดใช้งานฟังก์ชันการดีบัก fcgi เพื่อรวบรวมข้อมูล credentials จากความพยายามเข้าสู่ระบบ หรือ SSH
พฤติกรรมเหล่านี้แสดงให้เห็นว่าผู้โจมตีที่มีความสามารถสูง กำลังมุ่งเป้าดำเนินการโจมตีแบบเป็นวงกว้างมากกว่าแค่การโจมตีแบบฉวยโอกาส
นักวิเคราะห์ด้านความปลอดภัยได้ระบุ IP Address หลายรายการที่เกี่ยวข้องกับกลุ่มผู้โจมตี ได้แก่ 198.105.127.124, 43.228.217.173, 43.228.217.82, 156.236.76.90, 218.187.69.244 และ 218.187.69.59 โดยแนะนำให้องค์กรต่าง ๆ ดำเนินการบล็อกการเข้าถึงจาก IP เหล่านี้ทันที และตรวจสอบการเชื่อมต่อจาก IP Address ดังกล่าวอย่างใกล้ชิด
ผู้โจมตีได้ติดตั้งไฟล์อันตรายหลายรายการลงในระบบที่ถูกเจาะ ซึ่งรวมถึง /bin/wpad_ac_helper ซึ่งเป็นส่วนประกอบหลักของมัลแวร์ การแก้ไขไฟล์ crontab เพื่อดักจับ และเก็บข้อมูลสำคัญ และการติดตั้งไลบรารี /lib/libfmlogin.so อันตรายที่ออกแบบมาเพื่อขโมยข้อมูลเข้าสู่ระบบผ่าน SSH การเปลี่ยนแปลงเหล่านี้แสดงให้เห็นถึงกลยุทธ์ในการแฝงตัวเพื่อรักษาการเข้าถึงระบบในระยะยาว
Fortinet ได้ออกแพตช์ด้านความปลอดภัยสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบทั้งหมด โดยแนะนำให้องค์กรเร่งดำเนินการอัปเดตเป็นเวอร์ชันอย่างน้อยดังนี้: FortiVoice 7.2.1+, 7.0.7+ หรือ 6.4.11+; FortiMail 7.6.3+, 7.4.5+, 7.2.8+ หรือ 7.0.9+; FortiNDR 7.6.1+, 7.4.8+, 7.2.5+ หรือ 7.0.7+; FortiRecorder 7.2.4+, 7.0.6+ หรือ 6.4.6+; และ FortiCamera 2.1.4+
เพื่อเป็นการแก้ไขปัญหาชั่วคราว องค์กรต่าง ๆ สามารถปิดใช้งาน HTTP/HTTPS administrative interfaces บนอุปกรณ์ที่ได้รับผลกระทบ อย่างไรก็ตาม มาตรการชั่วคราวนี้ไม่ควรนำมาใช้แทนที่การอัปเดตแพตซ์
การที่มีโค้ดโจมตีที่ใช้งานได้ จะเพิ่มความเสี่ยงสำหรับระบบที่ยังไม่ได้อัปเดตแพตซ์อย่างมีนัยสำคัญ ทำให้การอัปเดตแพตซ์โดยเร่งด่วนมีความสำคัญอย่างยิ่งต่อการรักษาความสมบูรณ์ของความปลอดภัยของเครือข่าย
ที่มา : Cybersecuritynews
You must be logged in to post a comment.