ช่องโหว่ VPN design ของ Fortinet ทำให้ไม่พบการโจมตีแบบ Brute-Force ที่สำเร็จ

ช่องโหว่ในการออกแบบกลไก logging ของ Fortinet VPN server สามารถใช้เพื่อปกปิดร่องรอยการ brute-force credentials ที่ประสบความสำเร็จระหว่างการโจมตีแบบ brute-force attack ซึ่งจะทำให้ผู้ดูแลระบบไม่ได้รับการแจ้งเตือน

แม้ว่าการโจมตีแบบ brute-force attack จะยังสามารถถูกตรวจจับได้ แต่เทคนิคการโจมตีใหม่นี้ช่วยให้สามารถบันทึกเหตุการณ์ได้เฉพาะ failed attempts เท่านั้น ซึ่งจะไม่พบเหตุการณ์ successful
(more…)

Sophos เปิดเผยรายงานการป้องกันการโจมตีอุปกรณ์เครือข่ายจากกลุ่ม Hacker ชาวจีน นานกว่า 5 ปี

Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่ม Hacker ชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่ม Hacker ได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย

ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่ม Hacker ชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack (more…)

Mandiant พบช่องโหว่ใหม่ใน Fortinet ซึ่งกำลังถูกใช้ในการโจมตีมาตั้งแต่เดือนมิถุนายน

รายงานจาก Mandiant ระบุว่า ช่องโหว่ใหม่ใน Fortinet FortiManager ที่เรียกว่า FortiJump และมีหมายเลข CVE-2024-47575 กำลังถูกใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน 2024 โดยใช้โจมตีเป้าหมายที่เป็นเซิร์ฟเวอร์กว่า 50 เครื่อง

ในช่วง 10 วันที่ผ่านมา มีข่าวลือเกี่ยวกับการโจมตีแบบ zero-day ของ FortiManager ที่กำลังถูกโจมตีอย่างต่อเนื่อง ซึ่งเกิดขึ้นหลังจากที่ Fortinet ได้แจ้งเตือนไปยังลูกค้าแบบส่วนตัว โดยเป็นการแจ้งเตือนด้านความปลอดภัยล่วงหน้า

วันนี้ Fortinet ได้เปิดเผยช่องโหว่ของ FortiManager โดยระบุว่าเป็นช่องโหว่ missing authentication flaw ใน API ของ "FortiGate to FortiManager Protocol" (FGFM) ที่ Fortinet สร้างขึ้น ซึ่งจะทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถใช้คำสั่งตามที่ต้องการบนเซิร์ฟเวอร์ และสามารถควบคุมอุปกรณ์ FortiGate ได้

กลุ่มผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ โดยการใช้ FortiManager และ FortiGate ที่ถูกควบคุมโดยผู้โจมตี และมี certificates ที่ถูกต้อง เพื่อใช้ในการลงทะเบียนกับเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผยได้

เมื่ออุปกรณ์ของพวกเขาเชื่อมต่อแล้ว แม้ว่าจะอยู่ในสถานะที่ไม่ได้รับอนุญาต พวกเขาก็สามารถใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่ง API บน FortiManager และขโมยข้อมูลการตั้งค่าของอุปกรณ์ได้

Fortinet ได้ออกแพตช์สำหรับ CVE-2024-47575 และเสนอวิธีการลดความเสี่ยง เช่น อนุญาตเฉพาะบาง IP address ที่มีความจำเป็นเท่านั้นให้สามารถเชื่อมต่อได้ หรือการป้องกันไม่ให้อุปกรณ์ FortiGate ที่ไม่รู้จักลงทะเบียนโดยใช้คำสั่ง fgfm-deny-unknown enable

ช่องโหว่ถูกใช้โจมตีแบบ zero-day มาตั้งแต่เดือนมิถุนายน

Mandiant ระบุว่า กลุ่มผู้โจมตีชื่อว่า UNC5820 ได้เริ่มโจมตีอุปกรณ์ FortiManager ตั้งแต่วันที่ 27 มิถุนายน 2024

ตามรายงานจาก Mandiant ระบุว่ากลุ่ม UNC5820 ได้จัดเก็บ และขโมยข้อมูลการตั้งค่าของอุปกรณ์ FortiGate ที่มีการควบคุมโดย FortiManager ที่ถูกโจมตี

ข้อมูลนี้ประกอบด้วยรายละเอียดการตั้งค่าของอุปกรณ์ที่ถูกควบคุมโดย FortiManager รวมถึงผู้ใช้ และรหัสผ่านที่ถูกแฮชด้วย FortiOS256

ข้อมูลเหล่านี้อาจถูกใช้โดยกลุ่ม UNC5820 เพื่อใช้โจมตี FortiManager เพิ่มเติม และแพร่กระจายมัลแวร์ไปยังอุปกรณ์ Fortinet ที่อยู่ในการควบคุม และสุดท้ายก็โจมตีเข้าไปยัง environment ขององค์กร

การโจมตีครั้งแรกที่ถูกตรวจพบมาจาก IP 45[.]32[.]41[.]202 ซึ่งผู้โจมตีได้ลงทะเบียนไว้ใน FortiManager-VM ที่ไม่ได้รับอนุญาตจากเซิร์ฟเวอร์ FortiManager ที่ถูกเปิดเผย

อุปกรณ์นี้ถูกระบุชื่อว่า "localhost" และใช้ Serial Number "FMG-VMTM23017412" ดังที่แสดงด้านล่าง

จากการโจมตีครั้งนี้ Mandiant ระบุว่ามีการสร้างไฟล์ 4 ไฟล์ ได้แก่

/tmp/.tm เป็นไฟล์เก็บข้อมูลที่ถูกบีบอัดด้วย gzip ซึ่งประกอบด้วยข้อมูลที่ถูกขโมยเกี่ยวกับอุปกรณ์ FortiGate ที่ถูกควบคุม และข้อมูลเกี่ยวกับเซิร์ฟเวอร์ FortiManager รวมถึงฐานข้อมูลทั่วโลก
/fds/data/unreg_devices.

CISA แจ้งเตือนช่องโหว่ RCE ระดับ critical ของ Fortinet ที่กำลังถูกนำมาใช้ในการโจมตี

วันที่ 9 ตุลาคม 2024 CISA ได้แจ้งเตือนว่าพบผู้โจมตีที่กำลังใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ critical ของ FortiOS ในการโจมตีจริงแล้ว (more…)

มัลแวร์ ValleyRAT กลับมาอีกครั้งพร้อมด้วยกลยุทธ์การขโมยข้อมูลที่ล้ำหน้าขึ้น

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบเวอร์ชันอัปเดตของมัลแวร์ ValleyRAT ซึ่งกำลังถูกแพร่กระจายผ่านแคมเปญการโจมตีครั้งใหม่

(more…)

พบอุปกรณ์ Fortinet ที่มีช่องโหว่ระดับ Critical จำนวนกว่า 150,000 รายการ เสี่ยงต่อการถูกโจมตี

จากบริการการสแกนบนเว็บสาธารณะที่แสดงข้อมูล Fortinet FortiOS และ FortiProxy secure web gateway กว่า 150,000 รายการ มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21762 ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายได้โดยไม่จำเป็นต้องมีการ authentication

โดยหน่วยงานป้องกันทางไซเบอร์ของอเมริกา หรือ CISA ออกมายืนยันว่าพบกลุ่ม Hacker ได้มุ่งเป้าโจมตีช่องโหว่ดังกล่าว รวมถึงทาง CISA ได้เพิ่มช่องโหว่ดังกล่าวไปใน Known Exploited Vulnerabilities (KEV) catalog หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีแล้ว (more…)

CISA แจ้งเตือนช่องโหว่ RCE ใหม่ของ Fortinet กำลังถูกใช้ในการโจมตี

CISA ออกมาแจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่การเรียกใช้คำสั่งจากระยะไกล (RCE) ความรุนแรงระดับ Critical ที่ได้รับการแก้ไขไปแล้วในวันที่ 8 กุมภาพันธ์ 2024 จากทาง Fortinet

CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยใช้ HTTP request ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ

Fortinet แนะนำว่าหากผู้ดูแลระบบยังไม่สามารถทำการการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ได้ในทันที สามารถป้องกันการโจมตีจากช่องโหว่ดังกล่าวชั่วคราวได้โดยการปิดใช้งาน SSL VPN บนอุปกรณ์ไปก่อน โดยขณะนี้ทาง Fortinet ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลของช่องโหว่ดังกล่าว

การประกาศของ CISA เกิดขึ้นหนึ่งวันหลังจากที่ Fortinet เผยแพร่การอัปเดตช่องโหว่ดังกล่าว โดยระบุว่ามีความเป็นไปได้ที่ช่องโหว่ CVE-2024-21762 จะถูกนำไปใช้ในการโจมตีแล้ว รวมถึงได้เพิ่มช่องโหว่ดังกล่าวไปยังรายการ Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่พบว่าถูกใช้ในการโจมตีอยู่ในปัจจุบัน

รวมถึง CISA ได้แจ้งเตือนให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทำการอัปเดตอุปกรณ์ FortiOS ภายในเจ็ดวัน ให้เสร็จสิ้นภายในวันที่ 16 กุมภาพันธ์ 2024 โดยคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกมาในเดือนพฤศจิกายน 2021

การประกาศช่องโหว่อื่น ๆ ของ Fortinet

นอกจากนี้ทาง Fortinet ยังได้แก้ไขช่องโหว่ RCE ที่สำคัญอีก 2 รายการ (CVE-2024-23108 และ CVE-2024-23109) ในโซลูชัน FortiSIEM ในสัปดาห์เดียวกัน ซึ่งในตอนแรกทาง Fortinet ได้ปฏิเสธช่องโหว่ดังกล่า วและอ้างว่าเป็นช่องโหว่ที่ซ้ำกันกับ CVE-2023-34992 ซึ่งได้รับการแก้ไขไปแล้วในเดือนตุลาคม 2023 แต่ทาง Zach Hanley ผู้เชี่ยวชาญด้านช่องโหว่ Horizon3 ซึ่งเป็นผู้ที่ค้นพบ และรายงานช่องโหว่ดังกล่าวได้รายงานว่าช่องโหว่ CVE 2 รายการที่เพิ่งค้นพบนั้นแตกต่างจากช่องโหว่เดิมของ CVE-2023-34992 เนื่องจาก Hacker ที่ไม่จำเป็นผ่านการยืนยันตัวตนจากภายนอก สามารถใช้ช่องโหว่เหล่านี้เพื่อเรียกใช้คำสั่งบนอุปกรณ์ที่มีช่องโหว่ได้

ทั้งนี้แนะนำให้ผู้ดูแลระบบทำการอัปเดตอุปกรณ์ Fortinet ทั้งหมดโดยเร็วที่สุดในทันที เนื่องจากช่องโหว่ของ Fortinet ซึ่งส่วนใหญ่เป็น zero-day มักตกเป็นเป้าหมายการโจมตีของเหล่า Hacker เพื่อเข้าถึงเครือข่ายองค์กรเพื่อโจมตีด้วยแรนซัมแวร์ และขโมยข้อมูลออกไป

ที่มา : bleepingcomputer

พบ Gafgyt malware กำลังโจมตี Zyxel router ที่หมดอายุการใช้งาน ด้วยช่องโหว่ที่ถูกเปิดเผยมาแล้วกว่า 5 ปี

Fortinet บริษัทด้านความปลอดภัยทางไซเบอร์ แจ้งเตือนการพบ Gafgyt botnet ที่กำลังโจมตีโดยการใช้ช่องโหว่บน Zyxel router P660HN-T1A ที่หมดอายุการใช้งานไปแล้ว ซึ่งพบการโจมตีนับพันครั้งต่อวัน

CVE-2017-18368 เป็นช่องโหว่ระดับ Critical (คะแนน CVSS v3: 9.8) ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในฟังก์ชัน Remote System Log forwarding ซึ่งได้รับการแก้ไขโดย Zyxel ในปี 2017 โดยส่งผลกระทบต่ออุปกรณ์ที่ใช้ firmware versions 7.3.15.0 v001/3.40(ULM.0)b31 หรือเก่ากว่า

Fortinet ออกแพตซ์แก้ไขช่องโหว่ RCE ระดับ Critical ใน FortiNAC

Fortinet บริษัทโซลูชันด้านความปลอดภัยทางไซเบอร์ ออกแพตซ์อัปเดตช่องโหว่ในโซลูชัน Zero-Trust Access ของตนเองที่ชื่อว่า FortiNAC เพื่อแก้ไขช่องโหว่ระดับ Critical ซึ่งผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ด และคำสั่งที่เป็นอันตรายได้

FortiNAC ช่วยให้องค์กรสามารถจัดการกับนโยบายการเข้าถึงเครือข่ายได้อย่างมีประสิทธิภาพ รวมถึงการควบคุมอุปกรณ์ และผู้ใช้งานภายในเครือข่าย และรักษาความปลอดภัยของเครือข่ายจากการเข้าถึงที่ไม่ได้รับอนุญาต

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-33299 และได้รับคะแนนระดับความรุนแรงของช่องโหว่ที่ 9.6 จาก 10 คะแนน โดยช่องโหว่ดังกล่าวเกิดจากการ deserialization of untrusted data ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ของผู้ใช้งาน

โดย Fortinet ระบุว่า "ช่องโหว่ deserialization of untrusted data ใน FortiNAC อาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่าน request ที่ถูกสร้างขึ้นโดยเฉพาะไปยังบริการด้วยพอร์ต TCP/1050"

ผลิตภัณฑ์ที่ได้รับผลกระทบ มีดังนี้

FortiNAC version 9.4.0 ถึง 9.4.2
FortiNAC version 9.2.0 ถึง 9.2.7
FortiNAC version 9.1.0 ถึง 9.1.9
FortiNAC version 7.2.0 ถึง 7.2.1
FortiNAC 8.8 ทุกรุ่น
FortiNAC 8.7 ทุกรุ่น
FortiNAC 8.6 ทุกรุ่น
FortiNAC 8.5 ทุกรุ่น
FortiNAC 8.3 ทุกรุ่น

เวอร์ชันที่แนะนำให้อัปเกรดเพื่อจัดการกับความเสี่ยงที่เกิดขึ้นจากช่องโหว่ มีดังนี้

FortiNAC 9.4.3 ขึ้นไป
FortiNAC 9.2.8 ขึ้นไป
FortiNAC 9.1.10 ขึ้นไป
FortiNAC 7.2.2 ขึ้นไป

เนื่องจากทาง Fortinet ไม่ได้ให้คำแนะนำเกี่ยวกับการแก้ไขปัญหาแบบชั่วคราว ดังนั้นแนะนำให้รีบอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว

(more…)

Hacker โจมตีผ่านช่องโหว่ Digital video recording ที่ไม่ถูกอัปเดตนานกว่า 5 ปี

นักวิจัยจาก FortiGard Labs ของ Fortinet รายงานการพบกลุ่ม Hacker โจมตีช่องโหว่ของอุปกรณ์ TBK DVR (digital video recording) ซึ่งเป็นช่องโหว่ด้านการหลบเลี่ยงการตรวจสอบสิทธิ์ (bypass) ที่ถูกพบตั้งแต่ปี 2018

DVRs เป็นส่วนสำคัญของระบบเฝ้าระวังความปลอดภัย เนื่องจากสามารถบันทึก และจัดเก็บวิดีโอที่บันทึกโดยกล้อง ซึ่งเว็บไซต์ของ TBK Vision ได้รายงานว่าผลิตภัณฑ์ของบริษัทถูกนำไปใช้ในธนาคาร องค์กรภาครัฐ อุตสาหกรรมค้าปลีก และอื่น ๆ (more…)