ผู้โจมตีกำลังใช้ช่องโหว่ Authentication Bypass (CVE-2026-35616) ใน FortiClient Enterprise Management Server (EMS) เพื่อส่งมัลแวร์ขโมยข้อมูล Credential ที่ยังไม่เคยถูกพบมาก่อน ซึ่งมีชื่อว่า EKZ
ผู้โจมตีได้ปลอมแปลงมัลแวร์เป็นการอัปเดตสำหรับอุปกรณ์ Fortinet endpoints และเรียกใช้ผ่าน VPN scripting workflows ที่จัดการโดย FortiClient
ช่องโหว่ระดับ Critical ที่ถูกใช้ในการโจมตีนี้เป็นช่องโหว่ประเภท Improper Access Control ซึ่งทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถรันโค้ด หรือคำสั่งใด ๆ ได้ตามที่ต้องการ ผ่านการส่ง Request ที่สร้างขึ้นมาเป็นพิเศษ
Fortinet ได้ออกมายืนยันเมื่อช่วงต้นเดือนเมษายนที่ผ่านมาว่า ช่องโหว่ดังกล่าวเริ่มถูกนำไปใช้ในการโจมตีจริงแล้ว และได้ออกแพตช์แก้ไขฉุกเฉินสำหรับเวอร์ชัน 7.4.5 และ 7.4.6 ของผลิตภัณฑ์
ทาง CISA ได้ตอบสนองต่อภัยคุกคามนี้อย่างรวดเร็ว โดยออกคำสั่งให้หน่วยงานของรัฐบาลกลางเร่งดำเนินการรักษาความปลอดภัยระบบ EMS ของตนเองให้เสร็จสิ้นภายในสิ้นสัปดาห์นั้น ขณะเดียวกัน The Shadowserver Foundation กลุ่มเฝ้าระวังความปลอดภัยอินเทอร์เน็ต ได้รายงานในเวลาใกล้เคียงกันว่า ตรวจพบระบบ EMS ของ Fortinet ที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรงอยู่ถึงประมาณ 2,000 เครื่อง
โดยเมื่อช่วงต้นเดือนนี้ บริษัทด้านความปลอดภัยทางไซเบอร์ Arctic Wolf ได้ตรวจพบการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ในการส่งมัลแวร์ขโมยข้อมูล EKZ ซึ่งทีมนักวิจัยตั้งข้อสังเกตว่า การโจมตีเริ่มต้นจาก endpoint APIs เพื่อเข้าไปสั่งการในสิทธิ์ผู้ดูแลระบบได้โดยตรง โดยไม่ต้องผ่านการยืนยันตัวตน
หลังจากเข้าถึงระบบได้แล้ว ผู้โจมตีจะทำการแก้ไขการตั้งค่าของระบบ EMS และ VPN Policies เพื่อแทรกคำสั่งให้สคริปต์ที่เป็นอันตรายทำงาน โดยหลังจากที่อุปกรณ์ปลายทางเริ่มสร้างช่องทางการเชื่อมต่อแบบ IPsec tunnel ไปยังไฟร์วอลล์ FortiGate เพียงไม่กี่วินาที ไฟล์ระบบ fortitray.exe จะถูกสั่งให้เรียกใช้งาน Batch Scripts ที่เป็นอันตรายผ่านทาง Command Prompt
สคริปต์เหล่านั้นจะเรียกใช้เพย์โหลด PowerShell ที่มีการ encoded แบบ Base64 เพื่อดาวน์โหลด และติดตั้งมัลแวร์ที่ปลอมตัวเป็นแพตซ์ของ Fortinet จากนั้นจะแอบส่งข้อมูลที่ขโมยมากลับไปยังเซิร์ฟเวอร์ VPS ที่อยู่ภายใต้การควบคุมของผู้โจมตีผ่านโปรโตคอล HTTP
รายงานจาก Arctic Wolf ระบุว่า แทนที่จะใช้การหลอกด้วยมัลแวร์ทั่วไป ตัวเพย์โหลดนี้กลับถูกนำมาใช้ในรูปแบบของไฟล์อัปเดตสำหรับอุปกรณ์ Fortinet endpoint และถูกเรียกใช้ผ่าน VPN scripting workflows ที่จัดการโดย FortiClient
บนอุปกรณ์ที่ได้รับผลกระทบ ส่วนประกอบต่าง ๆ ของ FortiClient จะเรียกใช้งานสคริปต์คำสั่งเพื่อเรียกใช้ PowerShell เพื่อดาวน์โหลด infostealer malware และเรียกใช้งานแบบเงียบ ๆ รวมไปถึงแอบส่งข้อมูลเบราว์เซอร์ที่รวบรวมมาได้ออกไป ก่อนที่จะทำการลบหลักฐานต่าง ๆ
ตัวเพย์โหลดที่ถูกดาวน์โหลดมามีชื่อว่า EKZ Infostealer ซึ่งมีฟังก์ชันการทำงานในการขโมยข้อมูลที่ค่อนข้างเป็นมาตรฐาน โดยจะมุ่งเป้าไปที่เว็บเบราว์เซอร์ทั้งกลุ่มที่พัฒนาบนระบบ Chromium และ Firefox จากนั้นจะดึงข้อมูลที่จัดเก็บไว้ออกมาเป็น Text Files ในขณะที่สามารถ bypassing ระบบ Encrypted Password Protections ได้
มัลแวร์นี้มีเป้าหมายในการขโมยข้อมูล Credentials, รายละเอียดบัตรเครดิต, ที่อยู่, หมายเลขโทรศัพท์ และคุกกี้ ซึ่งคุกกี้เหล่านี้จะช่วยให้ผู้โจมตีสามารถเข้าถึงบัญชีที่ถูกป้องกันด้วย MFA ได้โดยตรง โดยไม่ต้องผ่านขั้นตอนการเข้าสู่ระบบใหม่
ข้อมูลจาก Arctic Wolf ระบุว่า มีสัญญาณของความพยายามใช้ประโยชน์จากช่องโหว่ในการส่งมัลแวร์ EKZ Infostealer คือ การตรวจพบข้อความใน Logs ที่ระบุว่า Certificate not found in request header และจากการทดสอบ พบว่าหลังจากเกิด Error ดังกล่าวเพียงไม่กี่วินาที จะมี Logs อีกรายการแสดงตามมาทันที คือ Certificate user: fortinet-ca2 … successfully updated
ดังนั้น นักวิจัยจึงแนะนำให้ผู้ดูแลระบบตรวจสอบความผิดปกติที่เกี่ยวข้องกับการยืนยันตัวตน และการเปลี่ยนแปลงการตั้งค่าของ Remote Access Profile Configurations
นอกจากนี้ พฤติกรรมจากบัญชีผู้ดูแลระบบที่น่าสงสัย เช่น การสร้างบัญชีผู้ใช้งานใหม่, การเข้าสู่ระบบจาก IP ที่ไม่คุ้น (เช่น Tor หรือหมายเลข IP ของ VPS) หรือพฤติกรรมใดที่นำไปสู่การเปลี่ยนแปลงการตั้งค่าระบบ ควรพิจารณาว่าเป็นสัญญาณอันตราย
โดยรายงานของ Arctic Wolf ให้คำแนะนำในการตรวจจับอย่างละเอียดซึ่งสามารถช่วยให้องค์กรต่าง ๆ นำไปใช้เพื่อป้องกันการโจมตีในรูปแบบดังกล่าวได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.