CISA แจ้งเตือนช่องโหว่ RCE ใหม่ของ Fortinet กำลังถูกใช้ในการโจมตี

CISA ออกมาแจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่การเรียกใช้คำสั่งจากระยะไกล (RCE) ความรุนแรงระดับ Critical ที่ได้รับการแก้ไขไปแล้วในวันที่ 8 กุมภาพันธ์ 2024 จากทาง Fortinet

CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยใช้ HTTP request ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ

Fortinet แนะนำว่าหากผู้ดูแลระบบยังไม่สามารถทำการการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ได้ในทันที สามารถป้องกันการโจมตีจากช่องโหว่ดังกล่าวชั่วคราวได้โดยการปิดใช้งาน SSL VPN บนอุปกรณ์ไปก่อน โดยขณะนี้ทาง Fortinet ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลของช่องโหว่ดังกล่าว

การประกาศของ CISA เกิดขึ้นหนึ่งวันหลังจากที่ Fortinet เผยแพร่การอัปเดตช่องโหว่ดังกล่าว โดยระบุว่ามีความเป็นไปได้ที่ช่องโหว่ CVE-2024-21762 จะถูกนำไปใช้ในการโจมตีแล้ว รวมถึงได้เพิ่มช่องโหว่ดังกล่าวไปยังรายการ Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่พบว่าถูกใช้ในการโจมตีอยู่ในปัจจุบัน

รวมถึง CISA ได้แจ้งเตือนให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทำการอัปเดตอุปกรณ์ FortiOS ภายในเจ็ดวัน ให้เสร็จสิ้นภายในวันที่ 16 กุมภาพันธ์ 2024 โดยคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกมาในเดือนพฤศจิกายน 2021

การประกาศช่องโหว่อื่น ๆ ของ Fortinet

นอกจากนี้ทาง Fortinet ยังได้แก้ไขช่องโหว่ RCE ที่สำคัญอีก 2 รายการ (CVE-2024-23108 และ CVE-2024-23109) ในโซลูชัน FortiSIEM ในสัปดาห์เดียวกัน ซึ่งในตอนแรกทาง Fortinet ได้ปฏิเสธช่องโหว่ดังกล่า วและอ้างว่าเป็นช่องโหว่ที่ซ้ำกันกับ CVE-2023-34992 ซึ่งได้รับการแก้ไขไปแล้วในเดือนตุลาคม 2023 แต่ทาง Zach Hanley ผู้เชี่ยวชาญด้านช่องโหว่ Horizon3 ซึ่งเป็นผู้ที่ค้นพบ และรายงานช่องโหว่ดังกล่าวได้รายงานว่าช่องโหว่ CVE 2 รายการที่เพิ่งค้นพบนั้นแตกต่างจากช่องโหว่เดิมของ CVE-2023-34992 เนื่องจาก Hacker ที่ไม่จำเป็นผ่านการยืนยันตัวตนจากภายนอก สามารถใช้ช่องโหว่เหล่านี้เพื่อเรียกใช้คำสั่งบนอุปกรณ์ที่มีช่องโหว่ได้

ทั้งนี้แนะนำให้ผู้ดูแลระบบทำการอัปเดตอุปกรณ์ Fortinet ทั้งหมดโดยเร็วที่สุดในทันที เนื่องจากช่องโหว่ของ Fortinet ซึ่งส่วนใหญ่เป็น zero-day มักตกเป็นเป้าหมายการโจมตีของเหล่า Hacker เพื่อเข้าถึงเครือข่ายองค์กรเพื่อโจมตีด้วยแรนซัมแวร์ และขโมยข้อมูลออกไป

ที่มา : bleepingcomputer

พบ Gafgyt malware กำลังโจมตี Zyxel router ที่หมดอายุการใช้งาน ด้วยช่องโหว่ที่ถูกเปิดเผยมาแล้วกว่า 5 ปี

Fortinet บริษัทด้านความปลอดภัยทางไซเบอร์ แจ้งเตือนการพบ Gafgyt botnet ที่กำลังโจมตีโดยการใช้ช่องโหว่บน Zyxel router P660HN-T1A ที่หมดอายุการใช้งานไปแล้ว ซึ่งพบการโจมตีนับพันครั้งต่อวัน

CVE-2017-18368 เป็นช่องโหว่ระดับ Critical (คะแนน CVSS v3: 9.8) ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในฟังก์ชัน Remote System Log forwarding ซึ่งได้รับการแก้ไขโดย Zyxel ในปี 2017 โดยส่งผลกระทบต่ออุปกรณ์ที่ใช้ firmware versions 7.3.15.0 v001/3.40(ULM.0)b31 หรือเก่ากว่า

Fortinet ออกแพตซ์แก้ไขช่องโหว่ RCE ระดับ Critical ใน FortiNAC

Fortinet บริษัทโซลูชันด้านความปลอดภัยทางไซเบอร์ ออกแพตซ์อัปเดตช่องโหว่ในโซลูชัน Zero-Trust Access ของตนเองที่ชื่อว่า FortiNAC เพื่อแก้ไขช่องโหว่ระดับ Critical ซึ่งผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ด และคำสั่งที่เป็นอันตรายได้

FortiNAC ช่วยให้องค์กรสามารถจัดการกับนโยบายการเข้าถึงเครือข่ายได้อย่างมีประสิทธิภาพ รวมถึงการควบคุมอุปกรณ์ และผู้ใช้งานภายในเครือข่าย และรักษาความปลอดภัยของเครือข่ายจากการเข้าถึงที่ไม่ได้รับอนุญาต

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-33299 และได้รับคะแนนระดับความรุนแรงของช่องโหว่ที่ 9.6 จาก 10 คะแนน โดยช่องโหว่ดังกล่าวเกิดจากการ deserialization of untrusted data ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ของผู้ใช้งาน

โดย Fortinet ระบุว่า "ช่องโหว่ deserialization of untrusted data ใน FortiNAC อาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่าน request ที่ถูกสร้างขึ้นโดยเฉพาะไปยังบริการด้วยพอร์ต TCP/1050"

ผลิตภัณฑ์ที่ได้รับผลกระทบ มีดังนี้

FortiNAC version 9.4.0 ถึง 9.4.2
FortiNAC version 9.2.0 ถึง 9.2.7
FortiNAC version 9.1.0 ถึง 9.1.9
FortiNAC version 7.2.0 ถึง 7.2.1
FortiNAC 8.8 ทุกรุ่น
FortiNAC 8.7 ทุกรุ่น
FortiNAC 8.6 ทุกรุ่น
FortiNAC 8.5 ทุกรุ่น
FortiNAC 8.3 ทุกรุ่น

เวอร์ชันที่แนะนำให้อัปเกรดเพื่อจัดการกับความเสี่ยงที่เกิดขึ้นจากช่องโหว่ มีดังนี้

FortiNAC 9.4.3 ขึ้นไป
FortiNAC 9.2.8 ขึ้นไป
FortiNAC 9.1.10 ขึ้นไป
FortiNAC 7.2.2 ขึ้นไป

เนื่องจากทาง Fortinet ไม่ได้ให้คำแนะนำเกี่ยวกับการแก้ไขปัญหาแบบชั่วคราว ดังนั้นแนะนำให้รีบอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว

(more…)

Hacker โจมตีผ่านช่องโหว่ Digital video recording ที่ไม่ถูกอัปเดตนานกว่า 5 ปี

นักวิจัยจาก FortiGard Labs ของ Fortinet รายงานการพบกลุ่ม Hacker โจมตีช่องโหว่ของอุปกรณ์ TBK DVR (digital video recording) ซึ่งเป็นช่องโหว่ด้านการหลบเลี่ยงการตรวจสอบสิทธิ์ (bypass) ที่ถูกพบตั้งแต่ปี 2018

DVRs เป็นส่วนสำคัญของระบบเฝ้าระวังความปลอดภัย เนื่องจากสามารถบันทึก และจัดเก็บวิดีโอที่บันทึกโดยกล้อง ซึ่งเว็บไซต์ของ TBK Vision ได้รายงานว่าผลิตภัณฑ์ของบริษัทถูกนำไปใช้ในธนาคาร องค์กรภาครัฐ อุตสาหกรรมค้าปลีก และอื่น ๆ (more…)

Fortinet ประกาศแจ้งเตือนช่องโหว่ RCE ระดับ Critical ที่สามารถหลีกเลี่ยงการยืนยันตัวตนได้

Fortinet ออกประกาศแจ้งเตือนช่องโหว่ความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อ FortiOS และ FortiProxy ทำให้สามารถหลีกเลี่ยงการยืนยันตัวตน รวมถึงการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution(RCE) และ Denial of Service (DoS) บนหน้า GUI ของอุปกรณ์ที่มีช่องโหว่โดยการใช้ request ที่เป็นอันตราย (more…)

Fortinet ออกอัปเดตแก้ไขช่องโหว่ระดับ critical ใน FortiNAC และ FortiWeb ที่ทำให้สามารถโจมตีแบบ RCE ได้

Fortinet บริษัทโซลูชั่นด้านความปลอดภัยทางไซเบอร์ ได้ออกอัปเดตแก้ไขช่องโหว่สำหรับผลิตภัณฑ์ FortiNAC และ FortiWeb โดยระบุถึงช่องโหว่ที่มีความรุนแรงระดับ critical 2 รายการ ซึ่งทำให้สามารถโจมตีเข้ามาโดยหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution (RCE)) (more…)

Boldmove Linux malware ถูกใช้เพื่อโจมตีช่องโหว่ FortiOS SSL-VPN บนอุปกรณ์ Fortinet

Fortinet บริษัทด้านความปลอดภัย ออกประกาศการพบกลุ่ม Hacker ชาวจีนได้ใช้มัลแวร์บน Linux และ Windows ที่สร้างขึ้นมาใหม่ชื่อว่า 'BOLDMOVE' เพื่อโจมตีช่องโหว่ FortiOS SSL-VPN บนอุปกรณ์ Fortinet โดยมีเป้าหมายการโจมตีไปยังรัฐบาลยุโรป และ MSP ของแอฟริกา (more…)

Fortinet and Zoho Urge Customers to Patch Enterprise Software Vulnerabilities

Fortinet และ Zoho ManageEngine ประกาศแจ้งเตือนช่องโหว่ใหม่ แนะนำให้รีบอัปเดตโดยด่วน

ช่องโหว่ FortiADC

Fortinet ประกาศการพบช่องโหว่ใหม่ใน FortiADC (Application Delivery Controller) หมายเลข CVE-2022-39947 (คะแนน CVSS: 8.6 ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ของคำสั่ง OS ใน FortiADC ที่ทำให้ผู้โจมตีที่สามารถเข้าถึง web GUI สามารถสั่งรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่านทาง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

FortiADC เวอร์ชัน 7.0.0 ถึง 7.0.2
FortiADC เวอร์ชัน 6.2.0 ถึง 6.2.3
FortiADC เวอร์ชัน 6.1.0 ถึง 6.1.6
FortiADC เวอร์ชัน 6.0.0 ถึง 6.0.4
FortiADC เวอร์ชัน 5.4.0 ถึง 5.4.5
ทาง Fortinet แนะนำให้ผู้ใช้อัปเกรดเป็น FortiADC เวอร์ชัน 6.2.4 และ 7.0.2 เพื่อปิดช่องโหว่โดยด่วน

ช่องโหว่ ManageEngine

Zoho ManageEngine ได้ประกาศการพบช่องโหว่ใหม่ใน Password Manager Pro, PAM360 และ Access Manager Plus หมายเลข CVE-2022-47523 (ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ SQL Injection ที่ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลได้

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

ManageEngine Password Manager Pro เวอร์ชัน 12200 หรือต่ำกว่า
ManageEngine PAM360 เวอร์ชัน 5800 หรือต่ำกว่า
ManageEngine Access Manager Plus เวอร์ชัน 4308หรือต่ำกว่า
โดยทาง Zoho ManageEngine แนะนำให้ผู้ใช้ซอฟต์แวร์เวอร์ชันที่มีช่องโหว่รีบอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : thehackernews.

Fortinet ประกาศอัปเดต Patch ช่องโหว่ Zero day บน FortiOS SSL VPNs ที่กำลังถูกใช้โจมตีอยู่ในปัจจุบัน

Fortinet ได้ประกาศอัปเดต Patch ช่องโหว่ Buffer Overflow ใน FortiOS ที่อาจทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-42475 เป็นช่องโหว่ heap-based buffer overflow ใน FortiOS หลาย ๆ version มี CVSSv3 : 9.3 ซึ่งจะสามารถทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ ซึ่งหากโจมตีสำเร็จก็จะสามารถเข้าควบคุมได้แบบเต็มรูปแบบ

วิธีตรวจสอบหากถูกโจมตีโดยช่องโหว่

ตรวจพบว่ามี Log ตามรายการด้านล่างนี้บนระบบหรือไม่

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"

ตรวจสอบไฟล์ตามรายการด้านล่างนี้ว่าพบการเปลี่ยนแปลงไปจากเดิมหรือไม่

/data/lib/libips.

Fortinet แจ้งเตือนช่องโหว่ auth bypass ระดับ Critical กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เมื่อวันที่ 10 ตุลาคมที่ผ่านมา Fortinet ออกมายืนยันว่าช่องโหว่ authentication bypass ที่พึ่งมีแพตซ์อัปเดตออกมาเมื่อสัปดาห์ที่แล้ว กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-40684 สามารถทำให้ผู้โจมตี bypass การยืนยันตัวตนบนอินเทอร์เฟซสำหรับผู้ดูแลระบบ ซึ่งจะทำให้ผู้โจมตีสามารถเข้าสู่ระบบไฟร์วอลล์ FortiGate, เว็บพร็อกซีของ FortiProxy และอินสแตนซ์การจัดการภายในองค์กร FortiSwitch Manager (FSWM) ได้

โดย Fortinet ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าวไปแล้วเมื่อวันพฤหัสบดีที่ผ่านมา นอกจากนี้ยังมีการแจ้งเตือนลูกค้าบางรายผ่านทางอีเมล เพื่อแจ้งให้ปิดการใช้งานอินเทอร์เฟซที่สามารถเข้าใช้งานได้จากภายนอกบนอุปกรณ์ที่มีช่องโหว่อย่างเร่งด่วน

โดยในวันนี้ Fortinet ออกมายอมรับว่าพบการโจมตีจากช่องโหว่ CVE-2022-40684 แล้วอย่างน้อยหนึ่งครั้ง

"Fortinet ทราบถึงการนำช่องโหว่ดังกล่าวไปใช้ประโยชน์ และแนะนำให้ตรวจสอบระบบด้วย IOC ที่มีลักษณะ user="Local_Process_Access," จาก log ของอุปกรณ์"

Version ของ Fortinet ที่อาจถูกโจมตีด้วยช่องโหว่ CVE-2022-40 หากไม่ได้รับการแก้ไข มีดังนี้

FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiSwitchManager : 7.2.0, 7.0.0

โดย Fortinet แนะนำให้ผู้ใช้งานอัปเดตอุปกรณ์ที่มีช่องโหว่เป็น FortiOS 7.0.7 หรือ 7.2.2 ขึ้นไป, FortiProxy 7.0.7 หรือ 7.2.1 ขึ้นไป และ FortiSwitchManager 7.2.1 ขึ้นไปเพื่อป้องกันการถูกโจมตี

PoC exploit ถูกเผยแพร่ออกสู่สาธารณะ

ข้อมูลจาก Shodan พบว่าสามารถเข้าถึง Firewall FortiGate ได้มากกว่า 140,000 ตัวจากอินเทอร์เน็ต และมีแนวโน้มว่าจะถูกโจมตีหาก admin management interfaces สามารถเข้าถึงได้โดยตรง

วิธีการแก้ไข และคำแนะนำเพิ่มเติมหากยังไม่สามารถอัปเดตแพตซ์ได้

ควรปิดการเข้าถึง administrative interface จากภายนอก หรือจำกัดการเข้าถึงเฉพาะ IP ที่ได้รับอนุญาตเท่านั้น

ที่มา : bleepingcomputer