FortiGate firewalls หลายแสนเครื่องมีความเสี่ยงจากการถูกโจมตีจากช่องโหว่ระดับ Critical ที่มีหมายเลข CVE-2023-27997 ภายหลังจากที่ Fortinet ปล่อยแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวเมื่อเดือนที่ผ่านมา
ช่องโหว่ดังกล่าวเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote code execution) โดยมีคะแนน CVSS 9.8 เต็ม 10 ซึ่งเป็นผลมาจากช่องโหว่ heap-based buffer overflow ใน FortiOS ซึ่งเป็นระบบปฏิบัติการที่เชื่อมต่อส่วนประกอบเครือข่ายทั้งหมดของ Fortinet เพื่อรวมเข้ากับแพลตฟอร์ม Security Fabric
หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ผ่านทาง SSL VPN interface ที่เข้าถึงได้จากอินเทอร์เน็ต
Fortinet ได้แก้ไขช่องโหว่ดังกล่าวไปแล้วเมื่อวันที่ 11 มิถุนายนที่ผ่านมา ด้วยเฟิร์มแวร์ FortiOS เวอร์ชัน 6.0.17, 6.2.15, 6.4.13, 7.0.12 และ 7.2.5
Bishop Fox บริษัทโซลูชันด้านความปลอดภัยเชิงรุกรายงานเมื่อวันศุกร์ที่ผ่านมาว่า แม้จะมีการแนะนำให้ผู้ใช้งานรีบอัปเดตแพตช์ แต่ก็พบว่ามีอุปกรณ์ FortiGate firewalls มากกว่า 300,000 เครื่องที่ยังเสี่ยงต่อการถูกโจมตี และสามารถเข้าถึงได้จากอินเทอร์เน็ต
นักวิจัย Bishop Fox ใช้เครื่องมือค้นหา Shodan เพื่อค้นหาอุปกรณ์ที่มี SSL VPN interface ที่เข้าถึงได้จากอินเทอร์เน็ต โดยสังเกตจาก specific HTTP response header โดยนับเฉพาะผลลัพธ์ที่มีการเปลี่ยนเส้นทางไปยัง '/remote/login' ซึ่งแสดงให้เห็นว่าเป็น SSL VPN interface ที่เข้าถึงได้จากอินเทอร์เน็ต
จากข้อมูลที่พบทั้งหมด 489,337 เครื่อง นักวิจัยพบว่าไม่ใช่ทุกเครื่องที่มีความเสี่ยงจากช่องโหว่ CVE-2023-27997 เนื่องจากมีอุปกรณ์กว่า 153,414 รายการที่ได้รับการอัปเดตเป็น FortiOS เวอร์ชันที่ปลอดภัยแล้ว
ซึ่งหมายความว่า FortiGate firewalls ประมาณ 335,900 เครื่อง มีความเสี่ยงที่จะถูกโจมตีได้สำเร็จ ซึ่งเป็นตัวเลขที่สูงกว่าการประมาณการครั้งล่าสุดที่ 250,000 รายการจากการค้นหาอื่น ๆ ที่มีความแม่นยำน้อยกว่า
การค้นพบอีกอย่างที่นักวิจัยของ Bishop Fox ทำคืออุปกรณ์ FortiGate ที่เข้าถึงได้จากอินเทอร์เน็ตจำนวนมากไม่ได้รับการอัปเดตเลยในช่วง 8 ปีที่ผ่านมา ซึ่งบางอุปกรณ์ยังใช้ FortiOS 6 ซึ่ง {}end of support ไปแล้วตั้งแต่ 29 กันยายนปีก่อน ทำให้อุปกรณ์เหล่านี้มีความเสี่ยงต่อช่องโหว่ระดับ Critical หลายรายการ ซึ่งได้มีการเปิดเผยรายละเอียดการโจมตีออกสู่สาธารณะแล้ว
เพื่อแสดงให้เห็นว่า CVE-2023-27997 สามารถใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ได้ Bishop Fox ได้ทดสอบการโจมตีช่องโหว่ที่แสดงให้เห็นการเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ดาวน์โหลดไบนารี BusyBox และเปิด interactive shell
ที่มา : bleepingcomputer