เมื่อช่วงต้นเดือนที่ผ่านมา พบการโจมตีแบบ Brute-force ที่เพิ่มสูงขึ้นอย่างมากมุ่งเป้าไปที่ SSL VPN ของ Fortinet ตามมาด้วยการเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งแสดงถึงการเปลี่ยนเป้าหมายอย่างจงใจที่มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ ๆ ในอดีต
แคมเปญการโจมตีครั้งนี้ถูกตรวจพบโดยแพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise โดยเหตุการณ์เกิดขึ้นเป็นสองระลอกในวันที่ 3 และ 5 สิงหาคมที่ผ่านมา ในระลอกที่สองได้มีการเปลี่ยนเป้าหมายการโจมตีไปที่ FortiManager โดยใช้ TCP signature ที่แตกต่างออกไป
ตามที่ GreyNoise เคยรายงานไว้ก่อนหน้านี้ว่า การเพิ่มขึ้นของการสแกนระบบ และการโจมตีแบบ Brute-force ที่มีเป้าหมายในลักษณะนี้ มักเป็นสัญญาณที่เกิดขึ้นก่อนการเปิดเผยช่องโหว่ความปลอดภัยใหม่ ๆ ถึง 80% ของกรณีทั้งหมด
โดยทั่วไป การสแกนลักษณะนี้มีเป้าหมายเพื่อระบุจำนวน และตำแหน่งของระบบที่เข้าถึงได้จากภายนอก, ประเมินความสำคัญของเป้าหมายเหล่านั้น และคาดการณ์ศักยภาพในการโจมตี ซึ่งหลังจากนั้นไม่นานมักจะตามมาด้วยการโจมตีจริงในเวลาต่อมา
GreyNoise แจ้งเตือนว่า “งานวิจัยล่าสุดแสดงให้เห็นว่า การเพิ่มขึ้นของการโจมตีลักษณะนี้มักเป็นสัญญาณเตือนก่อนจะมีการเปิดเผยช่องโหว่ใหม่ที่กระทบกับผู้จำหน่ายรายเดียวกัน โดยส่วนใหญ่จะเกิดขึ้นภายใน 6 สัปดาห์"
“ในความเป็นจริง GreyNoise พบว่าการเพิ่มขึ้นของกิจกรรมที่ทำให้ tag นี้ มีความเชื่อมโยงอย่างมีนัยสำคัญกับช่องโหว่ที่จะถูกเปิดเผยในอนาคตของผลิตภัณฑ์ Fortinet”
ด้วยเหตุนี้ ผู้ดูแลระบบจึงไม่ควรมองข้ามการโจมตีที่เพิ่มขึ้นเหล่านี้ว่าเป็นเพียงความพยายามที่ล้มเหลวในการโจมตีโดยใช้ประโยชน์จากช่องโหว่เก่าที่ได้รับการแก้ไขแล้ว แต่ควรพิจารณาว่าอาจเป็นสัญญาณเตือนล่วงหน้าของการเปิดเผยช่องโหว่แบบ Zero-day และควรยกระดับมาตรการรักษาความปลอดภัยให้แข็งแกร่งเพิ่มขึ้นเพื่อรับมือกับภัยคุกคาม
การโจมตีแบบ Brute-force ต่อ Fortinet
เมื่อวันที่ 3 สิงหาคม 2025 ทาง GreyNoise ได้ตรวจพบความพยายามในการโจมตีแบบ Brute-force ที่มุ่งเป้าไปยัง Fortinet SSL VPN เพิ่มสูงขึ้นอย่างรวดเร็ว โดยการโจมตีนี้เป็นส่วนหนึ่งของกิจกรรมที่เกิดขึ้นอย่างต่อเนื่องซึ่งทางบริษัทได้เฝ้าระวังมาตั้งแต่ก่อนหน้านี้แล้ว
การวิเคราะห์ fingerprint แบบ JA4+ เป็นวิธีการตรวจจับ network fingerprinting เพื่อระบุ และจำแนกประเภท traffic ที่เข้ารหัส พบว่าการโจมตีที่เพิ่มสูงขึ้นนี้มีความเชื่อมโยงกับกิจกรรมในเดือนมิถุนายน โดยมีต้นทางมาจากอุปกรณ์ FortiGate ที่ใช้ IP address สำหรับที่พักอาศัยซึ่งเกี่ยวข้องกับบริษัท Pilot Fiber Inc.
GreyNoise ระบุในรายงานการแจ้งเตือนว่า “ความเชื่อมโยงนี้แม้จะไม่ได้เป็นการยืนยันแหล่งที่มาของการโจมตี แต่ก็แสดงให้เห็นถึงความเป็นไปได้ที่จะมีการนำเครื่องมือ หรือสภาพแวดล้อมเครือข่ายเดิมกลับมาใช้ซ้ำ"
สองวันต่อมา ในวันที่ 5 สิงหาคม ได้ปรากฏแคมเปญการโจมตีแบบ Brute-force ครั้งใหม่จากผู้โจมตีรายเดียวกัน โดยเปลี่ยนเป้าหมายจาก FortiOS SSL VPN ไปยังบริการ FGFM ของ FortiManager
GreyNoise ระบุว่า "ในขณะที่ traffic การโจมตีในวันที่ 3 สิงหาคม มุ่งเป้าไปที่โปรไฟล์ของ FortiOS แต่ traffic ตั้งแต่วันที่ 5 สิงหาคมเป็นต้นมา ซึ่งมี fingerprinted เป็น TCP และ Client Signature (หรือที่เรียกว่า meta signature) กลับไม่ได้มุ่งเป้าไปที่ FortiOS อีกเลย”
"แต่ทว่า การโจมตีกลับมุ่งเป้าไปที่โปรไฟล์ของ FortiManager - FGFM อย่างต่อเนื่อง ถึงแม้ว่าจะยังคงถูกตรวจจับด้วย tag 'Fortinet SSL VPN Bruteforcer' อยู่ก็ตาม"
การเปลี่ยนเป้าหมายครั้งนี้แสดงให้เห็นว่า ไม่ว่าจะเป็นผู้โจมตีรายเดียวกัน หรือเป็นชุดเครื่องมือ/โครงสร้างพื้นฐานเดิมก็ตาม ได้เปลี่ยนเป้าหมายจากการพยายามโจมตีแบบ Brute-force เพื่อเข้าสู่ระบบ VPN มาเป็นการโจมตีเพื่อเข้าถึง FortiManager แทน
รายการ IP Address ที่เกี่ยวข้องกับการโจมตีครั้งนี้ และเป็นรายการที่ควรนำไปเพิ่มใน Blocklist มีรายละเอียดดังต่อไปนี้ :
- 31.206.51.194
- 23.120.100.230
- 96.67.212.83
- 104.129.137.162
- 118.97.151.34
- 180.254.147.16
- 20.207.197.237
- 180.254.155.227
- 185.77.225.174
- 45.227.254.113
GreyNoise ตั้งข้อสังเกตว่ากิจกรรมที่เป็นอันตรายที่กำลังติดตามอยู่นี้มีการปรับเปลี่ยน และพัฒนาอยู่ตลอดเวลา และมีความเชื่อมโยงกับกลุ่มต้นทางที่เฉพาะเจาะจงกลุ่มหนึ่ง ซึ่งมีความเป็นไปได้สูงว่ากำลังทำการทดสอบระบบแบบปรับเปลี่ยนไปตามสถานการณ์อยู่
โดยทั่วไปแล้ว กิจกรรมลักษณะนี้ไม่น่าจะใช่การสแกนจากนักวิจัยด้านความปลอดภัย เพราะการสแกนของนักวิจัยมักจะมีขอบเขตกว้างกว่า และมีอัตราการสแกนที่จำกัด นอกจากนี้ยังไม่ใช้วิธีการโจมตีแบบ Brute-force เพื่อเดารหัสผ่าน ซึ่งถือเป็นความพยายามบุกรุกที่ชัดเจนอย่างโจ่งแจ้ง
ดังนั้น ผู้ดูแลระบบควรดำเนินการบล็อก IP Address ที่อยู่ในรายการ, เพิ่มการป้องกันการเข้าสู่ระบบบนอุปกรณ์ Fortinet และจำกัดการเข้าถึงจากภายนอกให้รัดกุมที่สุดเท่าที่จะทำได้ โดยอนุญาตให้เข้าถึงได้เฉพาะจากกลุ่ม IP Address และ VPN ที่เชื่อถือได้เท่านั้น
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.