พบข้อมูลรั่วไหลในชื่อแคมเปญ "FortiBleed" ที่มีการเปิดเผยข้อมูล Credentials ของ Fortinet และ FortiGate VPN ในองค์กรต่าง ๆ ทั่วโลกจำนวนกว่า 73,932 firewall URLs
แคมเปญ FortiBleed ถูกพบโดยนักวิจัยด้านความปลอดภัย Bob Diachenko ซึ่งได้พบเซิร์ฟเวอร์เครื่องหนึ่งที่มีข้อมูลที่ดูเหมือนจะเป็น Credentials ของ Fortinet VPN ที่ใช้งานได้จริง ซึ่งประกอบด้วยชื่อผู้ใช้ (Usernames), email addresses และรหัสผ่านแบบ Plaintext
จาก screenshots และข้อมูลที่แชร์โดย Diachenko ฐานข้อมูลดังกล่าวมีรายชื่อขององค์กรต่าง ๆ เช่น Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid และองค์กรอื่น ๆ อีกมากมาย
Diachenko ได้โพสต์ใน LinkedIn ว่า พบแคมเปญการโจมตีแบบ Brute-force และการโจมตีทางไซเบอร์ครั้งใหญ่ต่อระบบ Fortinet/FortiGate โดยพบว่า Instance ของผู้ให้บริการชั้นนำหลายพันรายถูกระบุไว้ในไฟล์ เฉพาะไฟล์นี้ไฟล์เดียวมีชื่อโดเมนถึง 21,634 โดเมน ตั้งแต่ Chevron ไปจนถึงระบบของ Fortinet เอง ทั้งหมดนี้มาพร้อมกับรหัสผ่านของอุปกรณ์ FortiGate ที่อาจใช้งานได้จริง ซึ่งได้มาด้วยวิธีการต่าง ๆ
ข้อมูลที่รั่วไหลยังรวมถึง comments ที่ระบุประเภทอุตสาหกรรม รายได้ และจำนวนพนักงานของแต่ละองค์กร ซึ่งน่าจะใช้เพื่อการวางแผนโจมตี
ต่อมา Diachenko ได้แชร์ข้อมูลเพิ่มเติมซึ่งอ้างว่าปฏิบัติการนี้ดำเนินการโดยกลุ่ม Hacker ชาวรัสเซียหลายกลุ่ม ซึ่งได้ทำการรวบรวม Credentials สำหรับอุปกรณ์ FortiGate SSL VPN
จากการสืบสวนของ Diachenko พบว่า Hacker ได้พยายามเข้าสู่ระบบด้วยข้อมูล Credentials ประมาณ 1.16 พันล้านครั้ง ไปยัง FortiGate เครื่องเป้าหมาย จำนวน 320,777 เครื่อง และอีก 2.1 พันล้านครั้ง บนระบบ Microsoft SQL Server จำนวน 163,650 ระบบ
อีกทั้งพบว่า Hacker ได้ทำการดักจับ SSL VPN Authentication Hashes แล้วนำไปถอดรหัสโดยใช้ GPU cluster จำนวน 45 ตัวที่จัดการผ่าน Hashtopolis จากนั้นจึงใช้ Credentials ที่ได้มาทำการ Lateral Movement เข้าสู่ระบบ Active Directory ภายในองค์กร ซึ่งพบจากการวิเคราะห์ไฟล์เพิ่มเติมที่ถูกเปิดทิ้งไว้โดยไม่ได้ตั้งใจบนเซิร์ฟเวอร์เครื่องเดียวกัน ที่มีทั้งไฟล์ ร่องรอยหลักฐาน (Artifacts), Connection Strings, เครื่องมือ, สคริปต์ และข้อมูลต่าง ๆ รวมถึงข้อมูลวิเคราะห์ที่ได้จาก Cron Jobs, ประวัติการใช้คำสั่ง Bash, ไฟล์ Log และอื่น ๆ
นักวิจัย Diachenko ยังระบุด้วยว่า มีองค์กรหลายแห่งในญี่ปุ่น ไต้หวัน เวียดนาม อิรัก และตุรกี ถูกโจมตีระบบโดยสมบูรณ์ รวมถึงผู้รับเหมาด้านการป้องกันประเทศของตุรกีรายหนึ่งซึ่งอยู่ในเครือ NATO ที่มีรายงานว่าเอกสารลับถูกขโมยไปด้วย
Hudson Rock บริษัทข่าวกรองด้านภัยคุกคาม ได้เผยแพร่ผลวิเคราะห์ข้อมูลที่รั่วไหลดังกล่าวหลังจากได้รับชุดข้อมูลจาก Diachenko โดย Hudson Rock อธิบายว่า การรวบรวมข้อมูลนี้เป็นหนึ่งในคลังข้อมูล Credentials ที่เกี่ยวข้องกับ Fortinet ที่ถูกโจมตีที่ใหญ่ที่สุดเท่าที่เคยพบมา
จากข้อมูลของ Hudson Rock ชุดข้อมูลนี้ประกอบด้วย firewall URLs ที่ไม่ซ้ำกันจำนวน 73,932 รายการใน 194 ประเทศ และส่งผลกระทบต่อชื่อโดเมน (Domain Name) ที่ไม่ซ้ำกัน 21,632 domain
Hudson Rock ระบุว่า Hacker ได้เก็บบันทึกรายละเอียดของการโจมตีระบบที่ประสบความสำเร็จ และรวบรวมฐานข้อมูลที่มี Credentials ที่ผ่านการตรวจสอบแล้วสำหรับองค์กรในเกือบทุกภาคส่วนอุตสาหกรรมหลัก ได้แก่ Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle รวมถึงหน่วยงานรัฐบาล และผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญอีกหลายแห่ง
Hudson Rock ยังได้เปิดเผยสถิติที่แสดงให้เห็นว่า ประเทศที่มีจำนวนอุปกรณ์ที่ได้รับผลกระทบสูงสุด ได้แก่ อินเดีย, สหรัฐอเมริกา, ไต้หวัน, เม็กซิโก, ตุรกี, ไทย, โคลอมเบีย, มาเลเซีย, ชิลี และสหรัฐอาหรับเอมิเรตส์
ภาคส่วนที่พบบ่อยที่สุดของบริษัทที่อยู่ในรายชื่อ ได้แก่ โทรคมนาคม, บริการไอที, บริการทางการเงิน, องค์กรรัฐบาล, ผู้ให้บริการด้านสาธารณสุข, สถาบันการศึกษา และการผลิต
สิ่งที่น่าสนใจของแคมเปญ FortiBleed คือ Credentials ที่ถูกเปิดเผยจำนวนมากเป็นรหัสผ่านที่ยาว และซับซ้อน ซึ่งตามปกติแล้วจะถือว่ายากต่อการถอดรหัส
คาดว่าถูกดึงออกมาจากไฟล์ Config ของ Fortinet
Kevin Beaumont นักวิจัยความมั่นคงปลอดภัยทางไซเบอร์ ได้ทำการตรวจสอบข้อมูลบางส่วนที่รั่วไหลนี้ และให้ข้อมูลกับ BleepingComputer ว่า Credentials บางส่วนนั้นเป็นของจริง
หลังจากตรวจสอบข้อมูลที่แชร์โดย Hudson Rock เพิ่มเติม Beaumont ได้เผยแพร่ข้อมูลที่ค้นพบเพิ่มเติมที่ระบุว่า ชุดข้อมูลดังกล่าวมี Credentials สำหรับอุปกรณ์ Fortinet ประมาณ 75,000 เครื่อง ซึ่งส่วนใหญ่ยังคงออนไลน์อยู่
จากข้อมูลของ Beaumont ข้อมูลนี้ดูเหมือนจะมาจากไฟล์ Configurations ของ Fortinet ที่ถูก Export ออกไป เนื่องจากมันมีข้อมูลต่าง ๆ รวมถึงที่อยู่อีเมล ซึ่งโดยปกติแล้วจะเข้าถึงได้ผ่านไฟล์ Config เท่านั้น
Beaumont ยังระบุด้วยว่า IP Address ที่ได้รับผลกระทบนั้นแตกต่างจากข้อมูลที่หลุดของ Belsen Group Fortinet ในปี 2025 ซึ่งยิ่งเป็นสิ่งบ่งชี้ว่านี่คือการรวบรวมข้อมูลอุปกรณ์ที่ถูกบุกรุกซึ่งเกิดขึ้นใหม่ และมีขนาดใหญ่กว่า
Beaumont ได้ยืนยันแล้วว่าองค์กรหลายแห่งในชุดข้อมูลนั้นใช้งาน Credentials ที่ถูกต้องจริง และสังเกตเห็นว่าอุปกรณ์ที่ได้รับผลกระทบจำนวนมากกำลังรัน FortiOS เวอร์ชันที่ค่อนข้างใหม่
จากข้อมูลเครือข่ายของ Shodan ทาง Beaumont ระบุว่า ข้อมูลที่รั่วไหลนี้คิดเป็นประมาณครึ่งหนึ่งของ Firewall ของ Fortinet ทั้งหมดที่เข้าถึงได้จากอินเทอร์เน็ต และระบุว่าอุปกรณ์ที่ได้รับผลกระทบส่วนใหญ่เปิดหน้า management interfaces ให้เข้าถึงระบบได้จากอินเทอร์เน็ตโดยตรง
แหล่งที่มาของข้อมูล Configurations ดังกล่าวยังคงไม่เป็นที่แน่ชัด โดยยังไม่ชัดเจนว่าข้อมูลนี้ถูกขโมยผ่านช่องโหว่ของ Fortinet ที่เคยเปิดเผยไปก่อนหน้านี้ ช่องโหว่ใหม่ หรือวิธีการอื่น ทั้ง Diachenko, Hudson Rock และ Beaumont ต่างยังไม่ได้ระบุว่าข้อมูล Configurations ดังกล่าว ได้มาจากวิธีการใด
Hudson Rock ได้สร้างเครื่องมือตรวจสอบ FortiBleed ให้ใช้งานฟรี เพื่อตรวจสอบว่าองค์กรได้รับผลกระทบจากแคมเปญ FortiBleed หรือไม่ (www[.]hudsonrock[.]com/fortinet)
การป้องกัน และแก้ไข
- องค์กรที่มีรายชื่ออยู่ในชุดข้อมูลของแคมเปญ FortiBleed ควรทำการเปลี่ยนรหัสผ่าน (Rotate Passwords) ที่เกี่ยวข้องกับ Fortinet VPN และ administrative interfaces ในทันที
- บังคับใช้ระบบการยืนยันตัวตนแบบหลายปัจจัย (MFA) ในทุกบัญชี
- ตรวจสอบไฟล์ Log ของ Gateway เพื่อหาพฤติกรรมที่น่าสงสัย และเฝ้าระวังกรณีข้อมูล Credentials ของพนักงานถูกเปิดเผย
Fortinet ออกมาให้ข้อมูล
หลังจากที่ข่าวนี้ถูกเผยแพร่ Fortinet ได้แจ้งกับ BleepingComputer ว่า ผลการตรวจสอบของบริษัทระบุว่า การรวบรวม Credentials ดังกล่าวได้มาจากการโจมตีในอดีต และการโจมตีแบบ Brute-force และไม่มีความเชื่อมโยงกับช่องโหว่ที่เปิดเผยใหม่ ไม่เกี่ยวข้องกับเหตุการณ์ หรือคำแจ้งเตือนล่าสุดใด ๆ ทั้งนี้องค์กรที่ปฏิบัติตามแนวทาง best practices รวมถึงการเปลี่ยนข้อมูล Credentials อย่างสม่ำเสมอ ตามคำแนะนำ ก็จะมีแนวโน้มที่จะได้รับผลกระทบจากการโจมตีนี้ต่ำลง
ทั้งนี้ Fortinet กำลังดำเนินการตรวจสอบรายงานเหล่านี้ต่อไป โดยคำนึงถึงความปลอดภัยของลูกค้าเป็นลำดับความสำคัญสูงสุด
ที่มา : Bleepingcomputer
You must be logged in to post a comment.