Fortinet แจ้งเตือนลูกค้าว่า ผู้โจมตียังคงใช้ประโยชน์จากช่องโหว่ระดับ Critical ของ FortiOS อย่างต่อเนื่อง ซึ่งเป็นช่องโชว่ที่สามารถ bypass การยืนยันตัวตนแบบ 2FA เมื่อทำการโจมตีอุปกรณ์ FortiGate firewall ที่ยังคงมีช่องโหว่อยู่
ช่องโหว่นี้มีหมายเลข CVE-2020-12812 โดยเป็นช่องโหว่ Improper Authentication ที่พบใน FortiGate SSL VPN โดยช่วยให้ผู้โจมตีสามารถล็อกอินเข้าสู่ไฟร์วอลล์ที่ยังไม่ได้อัปเดตแพตช์ได้ โดยไม่ต้องผ่านการยืนยันตัวตนในรูปแบบ FortiToken ซึ่งเพียงแค่ทำการเปลี่ยนตัวอักษรพิมพ์เล็ก และพิมพ์ใหญ่ในชื่อผู้ใช้งานเท่านั้น
ช่องโหว่นี้เกิดขึ้นเมื่อเปิดใช้งาน two-factor authentication ในการตั้งค่าแบบ user local และประเภทการยืนยันตัวตนของผู้ใช้รายนั้นถูกตั้งค่าให้เป็นการยืนยันตัวตนผ่านเซิร์ฟเวอร์ภายนอก เช่น LDAP โดยทาง Fortinet ระบุไว้เมื่อตอนที่ออกแพตช์แก้ไขช่องโหว่นี้ในเดือนกรกฎาคม ปี 2020 ว่าสาเหตุของปัญหาเกิดจากการตรวจสอบความแตกต่างของตัวอักษรพิมพ์เล็ก และพิมพ์ใหญ่ระหว่างการยืนยันตัวตนในระบบ local และการยืนยันตัวตนผ่านเซิร์ฟเวอร์ภายนอกที่ไม่สอดคล้องกัน
Fortinet ได้ออก FortiOS เวอร์ชัน 6.4.1, 6.2.4 และ 6.0.10 ในเดือนกรกฎาคม 2020 เพื่อแก้ไขช่องโหว่นี้ และแนะนำให้ผู้ดูแลระบบที่ไม่สามารถติดตั้งการอัปเดตความปลอดภัยได้ ควรปิดการใช้งานการตรวจสอบตัวอักษรพิมพ์ใหญ่-เล็กของชื่อผู้ใช้ เพื่อหลีกเลี่ยงปัญหา 2FA bypass
เมื่อสัปดาห์ที่ผ่านมา บริษัทได้เตือนลูกค้าว่าผู้โจมตียังคงใช้ช่องโหว่ CVE-2020-12812 ในการโจมตี โดยมุ่งเป้าไปที่ไฟร์วอลล์ที่เปิดใช้งาน LDAP (Lightweight Directory Access Protocol)
อย่างไรก็ตาม องค์กรที่จะตกเป็นเหยื่อของการโจมตีที่กำลังเกิดขึ้นนี้ได้นั้น จะต้องมีการตั้งค่าเฉพาะ เช่น องค์กรจะต้องมีข้อมูลผู้ใช้ในระบบ FortiGate ที่ต้องใช้การยืนยันตัวตนแบบ 2FA และมีการเชื่อมโยงกับ LDAP นอกจากนี้ ผู้ใช้เหล่านี้จะต้องอยู่ใน LDAP group ซึ่งต้องมีการกำหนดค่าไว้บน FortiGate ด้วยเช่นกัน
Fortinet ระบุว่าได้ตรวจพบการใช้ประโยชน์จากช่องโหว่ FG-IR-19-283 / CVE-2020-12812 ที่เปิดตัวในเดือนกรกฎาคม 2020 เมื่อเร็ว ๆ นี้ โดยพิจารณาจากรูปแบบการกำหนดค่าเฉพาะ
ส่วนหนึ่งที่ทำให้สถานการณ์นี้เกิดขึ้นได้ คือการกำหนดค่าที่ผิดพลาดของ Secondary LDAP Group ซึ่งจะถูกเรียกใช้เมื่อการยืนยันตัวตนผ่าน LDAP ไม่สำเร็จ หากไม่จำเป็นต้องใช้ Secondary LDAP Group ควรดำเนินการลบออก และหากไม่มีการใช้งาน LDAP groups การยืนยันตัวตนผ่าน LDAP groups ก็จะไม่สามารถทำได้ และผู้ใช้รายนั้นจะยืนยันตัวตนไม่ผ่านทันทีหากชื่อผู้ใช้งานไม่ตรงกับข้อมูลที่บันทึกไว้ในเครื่อง
ในเดือนเมษายน 2021 FBI และ CISA ได้เตือนว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลบางประเทศกำลังโจมตีระบบ Fortinet FortiOS โดยใช้ช่องโหว่หลายรายการร่วมกัน รวมถึงการใช้ช่องโหว่ CVE-2020-12812 เพื่อ bypass 2FA
เจ็ดเดือนต่อมา ในเดือนพฤศจิกายน 2021 CISA ได้เพิ่ม CVE-2020-12812 ลงใน catalog of known exploited vulnerabilities โดยระบุว่าเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีด้วยแรนซัมแวร์ และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนให้เสร็จสิ้นภายในเดือนพฤษภาคม 2022
ช่องโหว่ของ Fortinet มักถูกนำไปใช้ในการโจมตีอยู่บ่อยครั้ง โดยเฉพาะช่องโหว่แบบ Zero-day ตัวอย่างเช่น ในเดือนพฤศจิกายน บริษัทได้เตือนถึงช่องโหว่ Zero-day ของ FortiWeb (CVE-2025-58034) ที่ถูกนำไปใช้โจมตีอย่างแพร่หลาย ซึ่งเกิดขึ้นเพียงหนึ่งสัปดาห์หลังจากที่มีการยืนยันว่าบริษัทได้ออกแพตช์เพื่อแก้ไขช่องโหว่ Zero-day รายการที่สองบน FortiWeb (CVE-2025-64446) ที่กำลังถูกนำไปใช้โจมตีอย่างแพร่หลายไปก่อนหน้า
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.