FortiGate firewalls หลายแสนเครื่องมีความเสี่ยงจากการถูกโจมตีจากช่องโหว่ระดับ Critical ที่มีหมายเลข CVE-2023-27997 ภายหลังจากที่ Fortinet ปล่อยแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวเมื่อเดือนที่ผ่านมา

ช่องโหว่ดังกล่าวเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote code execution) โดยมีคะแนน CVSS 9.8 เต็ม 10 ซึ่งเป็นผลมาจากช่องโหว่ heap-based buffer overflow ใน FortiOS ซึ่งเป็นระบบปฏิบัติการที่เชื่อมต่อส่วนประกอบเครือข่ายทั้งหมดของ Fortinet เพื่อรวมเข้ากับแพลตฟอร์ม Security Fabric

หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ผ่านทาง SSL VPN interface ที่เข้าถึงได้จากอินเทอร์เน็ต

Fortinet ได้แก้ไขช่องโหว่ดังกล่าวไปแล้วเมื่อวันที่ 11 มิถุนายนที่ผ่านมา ด้วยเฟิร์มแวร์ FortiOS เวอร์ชัน 6.0.17, 6.2.15, 6.4.13, 7.0.12 และ 7.2.5

Bishop Fox บริษัทโซลูชันด้านความปลอดภัยเชิงรุกรายงานเมื่อวันศุกร์ที่ผ่านมาว่า แม้จะมีการแนะนำให้ผู้ใช้งานรีบอัปเดตแพตช์ แต่ก็พบว่ามีอุปกรณ์ FortiGate firewalls มากกว่า 300,000 เครื่องที่ยังเสี่ยงต่อการถูกโจมตี และสามารถเข้าถึงได้จากอินเทอร์เน็ต

นักวิจัย Bishop Fox ใช้เครื่องมือค้นหา Shodan เพื่อค้นหาอุปกรณ์ที่มี SSL VPN interface ที่เข้าถึงได้จากอินเทอร์เน็ต โดยสังเกตจาก specific HTTP response header โดยนับเฉพาะผลลัพธ์ที่มีการเปลี่ยนเส้นทางไปยัง '/remote/login' ซึ่งแสดงให้เห็นว่าเป็น SSL VPN interface ที่เข้าถึงได้จากอินเทอร์เน็ต

จากข้อมูลที่พบทั้งหมด 489,337 เครื่อง นักวิจัยพบว่าไม่ใช่ทุกเครื่องที่มีความเสี่ยงจากช่องโหว่ CVE-2023-27997 เนื่องจากมีอุปกรณ์กว่า 153,414 รายการที่ได้รับการอัปเดตเป็น FortiOS เวอร์ชันที่ปลอดภัยแล้ว

ซึ่งหมายความว่า FortiGate firewalls ประมาณ 335,900 เครื่อง มีความเสี่ยงที่จะถูกโจมตีได้สำเร็จ ซึ่งเป็นตัวเลขที่สูงกว่าการประมาณการครั้งล่าสุดที่ 250,000 รายการจากการค้นหาอื่น ๆ ที่มีความแม่นยำน้อยกว่า

การค้นพบอีกอย่างที่นักวิจัยของ Bishop Fox ทำคืออุปกรณ์ FortiGate ที่เข้าถึงได้จากอินเทอร์เน็ตจำนวนมากไม่ได้รับการอัปเดตเลยในช่วง 8 ปีที่ผ่านมา ซึ่งบางอุปกรณ์ยังใช้ FortiOS 6 ซึ่ง {}end of support ไปแล้วตั้งแต่ 29 กันยายนปีก่อน ทำให้อุปกรณ์เหล่านี้มีความเสี่ยงต่อช่องโหว่ระดับ Critical หลายรายการ ซึ่งได้มีการเปิดเผยรายละเอียดการโจมตีออกสู่สาธารณะแล้ว

เพื่อแสดงให้เห็นว่า CVE-2023-27997 สามารถใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ได้ Bishop Fox ได้ทดสอบการโจมตีช่องโหว่ที่แสดงให้เห็นการเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ดาวน์โหลดไบนารี BusyBox และเปิด interactive shell

 

ที่มา : bleepingcomputer

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้น และพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 เท่านั้น ล่าสุดพบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัว และได้เปิดเผยถึงผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมดังต่อไปนี้

FortiAnalyzer รุ่น 5.0.5 ถึง 5.0.11 และ 5.2.0 ถึง 5.2.4
FortiSwitch รุ่น 3.3.0 ถึง 3.3.2
FortiCache รุ่น 3.0.0 ถึง 3.0.7 (รุ่น 3.1 ไม่ได้รับผลกระทบ)
อุปกรณ์ที่ใช้ FortiOS รุ่น 4.1.0 ถึง 4.1.10 และ 4.2.0 ถึง 4.2.15 และ 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7

ปัจจุบันนี้เริ่มมีผู้โจมตี Scan หาช่องโหว่นี้ของ Fortinet บน Public IP แล้ว โดยมี IP ต้องสงสัยหลักๆ ที่พยายามทำการ Scan หาช่องโหว่เหล่านี้อย่างต่อเนื่องคือ 124.160.116.194 และ 183.131.19.18 ซึ่งมาจากประเทศจีน ดังนั้นผู้ดูแลระบบควรจะรีบ Patch ระบบทั้งหมดที่ได้รับผลกระทบทันที ในขณะที่อย่างน้อยๆ ถ้าหาก Patch ไม่ได้ ก็ควรกำหนด Firewall Rule หรือ ACL ให้บล็อคการเข้าถึงจาก IP Address สองชุดนี้เสียก่อน

ที่มา : theregister