Hacker โจมตีผ่านช่องโหว่ Digital video recording ที่ไม่ถูกอัปเดตนานกว่า 5 ปี

นักวิจัยจาก FortiGard Labs ของ Fortinet รายงานการพบกลุ่ม Hacker โจมตีช่องโหว่ของอุปกรณ์ TBK DVR (digital video recording) ซึ่งเป็นช่องโหว่ด้านการหลบเลี่ยงการตรวจสอบสิทธิ์ (bypass) ที่ถูกพบตั้งแต่ปี 2018

DVRs เป็นส่วนสำคัญของระบบเฝ้าระวังความปลอดภัย เนื่องจากสามารถบันทึก และจัดเก็บวิดีโอที่บันทึกโดยกล้อง ซึ่งเว็บไซต์ของ TBK Vision ได้รายงานว่าผลิตภัณฑ์ของบริษัทถูกนำไปใช้ในธนาคาร องค์กรภาครัฐ อุตสาหกรรมค้าปลีก และอื่น ๆ (more…)

Fortinet ประกาศแจ้งเตือนช่องโหว่ RCE ระดับ Critical ที่สามารถหลีกเลี่ยงการยืนยันตัวตนได้

Fortinet ออกประกาศแจ้งเตือนช่องโหว่ความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อ FortiOS และ FortiProxy ทำให้สามารถหลีกเลี่ยงการยืนยันตัวตน รวมถึงการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution(RCE) และ Denial of Service (DoS) บนหน้า GUI ของอุปกรณ์ที่มีช่องโหว่โดยการใช้ request ที่เป็นอันตราย (more…)

Fortinet ออกอัปเดตแก้ไขช่องโหว่ระดับ critical ใน FortiNAC และ FortiWeb ที่ทำให้สามารถโจมตีแบบ RCE ได้

Fortinet บริษัทโซลูชั่นด้านความปลอดภัยทางไซเบอร์ ได้ออกอัปเดตแก้ไขช่องโหว่สำหรับผลิตภัณฑ์ FortiNAC และ FortiWeb โดยระบุถึงช่องโหว่ที่มีความรุนแรงระดับ critical 2 รายการ ซึ่งทำให้สามารถโจมตีเข้ามาโดยหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution (RCE)) (more…)

Boldmove Linux malware ถูกใช้เพื่อโจมตีช่องโหว่ FortiOS SSL-VPN บนอุปกรณ์ Fortinet

Fortinet บริษัทด้านความปลอดภัย ออกประกาศการพบกลุ่ม Hacker ชาวจีนได้ใช้มัลแวร์บน Linux และ Windows ที่สร้างขึ้นมาใหม่ชื่อว่า 'BOLDMOVE' เพื่อโจมตีช่องโหว่ FortiOS SSL-VPN บนอุปกรณ์ Fortinet โดยมีเป้าหมายการโจมตีไปยังรัฐบาลยุโรป และ MSP ของแอฟริกา (more…)

Fortinet and Zoho Urge Customers to Patch Enterprise Software Vulnerabilities

Fortinet และ Zoho ManageEngine ประกาศแจ้งเตือนช่องโหว่ใหม่ แนะนำให้รีบอัปเดตโดยด่วน

ช่องโหว่ FortiADC

Fortinet ประกาศการพบช่องโหว่ใหม่ใน FortiADC (Application Delivery Controller) หมายเลข CVE-2022-39947 (คะแนน CVSS: 8.6 ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ของคำสั่ง OS ใน FortiADC ที่ทำให้ผู้โจมตีที่สามารถเข้าถึง web GUI สามารถสั่งรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่านทาง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

FortiADC เวอร์ชัน 7.0.0 ถึง 7.0.2
FortiADC เวอร์ชัน 6.2.0 ถึง 6.2.3
FortiADC เวอร์ชัน 6.1.0 ถึง 6.1.6
FortiADC เวอร์ชัน 6.0.0 ถึง 6.0.4
FortiADC เวอร์ชัน 5.4.0 ถึง 5.4.5
ทาง Fortinet แนะนำให้ผู้ใช้อัปเกรดเป็น FortiADC เวอร์ชัน 6.2.4 และ 7.0.2 เพื่อปิดช่องโหว่โดยด่วน

ช่องโหว่ ManageEngine

Zoho ManageEngine ได้ประกาศการพบช่องโหว่ใหม่ใน Password Manager Pro, PAM360 และ Access Manager Plus หมายเลข CVE-2022-47523 (ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ SQL Injection ที่ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลได้

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

ManageEngine Password Manager Pro เวอร์ชัน 12200 หรือต่ำกว่า
ManageEngine PAM360 เวอร์ชัน 5800 หรือต่ำกว่า
ManageEngine Access Manager Plus เวอร์ชัน 4308หรือต่ำกว่า
โดยทาง Zoho ManageEngine แนะนำให้ผู้ใช้ซอฟต์แวร์เวอร์ชันที่มีช่องโหว่รีบอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : thehackernews.

Fortinet ประกาศอัปเดต Patch ช่องโหว่ Zero day บน FortiOS SSL VPNs ที่กำลังถูกใช้โจมตีอยู่ในปัจจุบัน

Fortinet ได้ประกาศอัปเดต Patch ช่องโหว่ Buffer Overflow ใน FortiOS ที่อาจทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-42475 เป็นช่องโหว่ heap-based buffer overflow ใน FortiOS หลาย ๆ version มี CVSSv3 : 9.3 ซึ่งจะสามารถทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ ซึ่งหากโจมตีสำเร็จก็จะสามารถเข้าควบคุมได้แบบเต็มรูปแบบ

วิธีตรวจสอบหากถูกโจมตีโดยช่องโหว่

ตรวจพบว่ามี Log ตามรายการด้านล่างนี้บนระบบหรือไม่

Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"

ตรวจสอบไฟล์ตามรายการด้านล่างนี้ว่าพบการเปลี่ยนแปลงไปจากเดิมหรือไม่

/data/lib/libips.

Fortinet แจ้งเตือนช่องโหว่ auth bypass ระดับ Critical กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เมื่อวันที่ 10 ตุลาคมที่ผ่านมา Fortinet ออกมายืนยันว่าช่องโหว่ authentication bypass ที่พึ่งมีแพตซ์อัปเดตออกมาเมื่อสัปดาห์ที่แล้ว กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-40684 สามารถทำให้ผู้โจมตี bypass การยืนยันตัวตนบนอินเทอร์เฟซสำหรับผู้ดูแลระบบ ซึ่งจะทำให้ผู้โจมตีสามารถเข้าสู่ระบบไฟร์วอลล์ FortiGate, เว็บพร็อกซีของ FortiProxy และอินสแตนซ์การจัดการภายในองค์กร FortiSwitch Manager (FSWM) ได้

โดย Fortinet ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าวไปแล้วเมื่อวันพฤหัสบดีที่ผ่านมา นอกจากนี้ยังมีการแจ้งเตือนลูกค้าบางรายผ่านทางอีเมล เพื่อแจ้งให้ปิดการใช้งานอินเทอร์เฟซที่สามารถเข้าใช้งานได้จากภายนอกบนอุปกรณ์ที่มีช่องโหว่อย่างเร่งด่วน

โดยในวันนี้ Fortinet ออกมายอมรับว่าพบการโจมตีจากช่องโหว่ CVE-2022-40684 แล้วอย่างน้อยหนึ่งครั้ง

"Fortinet ทราบถึงการนำช่องโหว่ดังกล่าวไปใช้ประโยชน์ และแนะนำให้ตรวจสอบระบบด้วย IOC ที่มีลักษณะ user="Local_Process_Access," จาก log ของอุปกรณ์"

Version ของ Fortinet ที่อาจถูกโจมตีด้วยช่องโหว่ CVE-2022-40 หากไม่ได้รับการแก้ไข มีดังนี้

FortiOS : 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiProxy : 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
FortiSwitchManager : 7.2.0, 7.0.0

โดย Fortinet แนะนำให้ผู้ใช้งานอัปเดตอุปกรณ์ที่มีช่องโหว่เป็น FortiOS 7.0.7 หรือ 7.2.2 ขึ้นไป, FortiProxy 7.0.7 หรือ 7.2.1 ขึ้นไป และ FortiSwitchManager 7.2.1 ขึ้นไปเพื่อป้องกันการถูกโจมตี

PoC exploit ถูกเผยแพร่ออกสู่สาธารณะ

ข้อมูลจาก Shodan พบว่าสามารถเข้าถึง Firewall FortiGate ได้มากกว่า 140,000 ตัวจากอินเทอร์เน็ต และมีแนวโน้มว่าจะถูกโจมตีหาก admin management interfaces สามารถเข้าถึงได้โดยตรง

วิธีการแก้ไข และคำแนะนำเพิ่มเติมหากยังไม่สามารถอัปเดตแพตซ์ได้

ควรปิดการเข้าถึง administrative interface จากภายนอก หรือจำกัดการเข้าถึงเฉพาะ IP ที่ได้รับอนุญาตเท่านั้น

ที่มา : bleepingcomputer

แฮกเกอร์ปล่อยข้อมูล Account ของ Fortinet VPN ออกมากว่า 500,000 บัญชี และมีข้อมูลขององค์กรในประเทศไทยด้วย

มีข้อมูลว่าแฮกเกอร์รายหนึ่งได้ปล่อยข้อมูล Username และ Password สำหรับ Login Fortinet VPN กว่า 5 แสนรายการ บน RAMP Hacking forum ที่พึ่งเปิดตัวขึ้นมาใหม่ โดยมีผู้ดูแลใช้ชื่อว่า “Orange” และเจ้าตัวยังเป็นผู้ดำเนินการ BaBuk Ransomware คนก่อนอีกด้วย และปัจจุบันเชื่อว่าได้แยกตัวมาเป็นตัวแทนของการดำเนินการของ Groove Ransomware

ข้อมูลที่ถูกปล่อยออกมาบน forum นั้นได้มาจากการโจมตีช่องโหว่ของ Fortinet CVE-2018-13379 ซึ่งการหลุดของข้อมูลครั้งนี้ถือว่าเป็นเหตุการณ์ที่ร้ายแรง เนื่องจากข้อมูลที่หลุดไปนั้น สามารถทำให้ผู้ที่โจมตีสามารถ VPN เข้าถึงเครือข่ายเพื่อทำการขโมยข้อมูล ติดตั้งมัลแวร์ หรือดำเนินการโจมตีด้วยแรนซัมแวร์ได้

และนอกจาก forum ดังกล่าวแล้ว ยังมีโพสที่ปรากฎอยู่บน data leak site ของ Groove ransomware ด้วยเช่นกัน

จากการตรวจสอบของ BleepingComputer พบว่ามีข้อมูล VPN Credentials กว่า 498,908 Users และอุปกรณ์กว่า 12,856 เครื่อง และ IP Address ที่ตรวจสอบทั้งหมดนั้นเป็น Fortinet VPN Servers และจากการวิเคราะห์เพิ่มเติมพบว่าอุปกรณ์กว่า 2,959 เครื่องนั้นอยู่ในสหรัฐอเมริกา

แต่เป็นที่น่าสงสัยว่าเพราะอะไรกลุ่มแฮกเกอร์ถึงปล่อยข้อมูลออกมา แต่สามารถเชื่อได้ว่าอาจทำไปเพื่อโฆษณา RAMP forum เพื่อให้ผู้โจมตีที่สนใจ RaaS มาใช้ Groove as a Service ซึ่งเป็น Ransomware ที่ค่อนข้างใหม่ ที่มีเหยื่อเพียงรายเดียวเท่านั้นที่อยู่ในรายชื่อของเหยื่อบนหน้าเว็บไซต์

และจากการตรวจสอบเพิ่มเติมของทาง I-SECURE ผมว่ามี IP ขององค์กรต่างๆ โรงเรียนหรือมหาวิทยาลัย รวมถึงหน่วยงานราชการในประเทศไทย รวมกันมากกว่า 500 IP และในแต่ละไฟล์จะมีข้อมูลของ Username และ Password อยู่ด้านใน

และทางเราแนะนำว่าหากมี Server ใดที่ยังไม่ได้รับการ Patch ให้ทำการ Patch ในทันที และให้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน Fortinet VPN ทั้งหมดเพื่อความปลอดภัย

ที่มา: BleepingComputer, advintel

Fortinet แก้ไขช่องโหว่การโจมตีที่สำคัญเพิ่มเติมใน SSL VPN และ Web Firewall

Fortinet ได้ทำการแก้ไขช่องโหว่ที่รุนแรงหลายรายการ ซึ่งรวมไปถึง Remote Code Execution (RCE) ไปจนถึง SQL Injection, Denial of Service (DoS) ที่ส่งผลกระทบต่ออุปกรณ์ FortiProxy SSL VPN และ FortiWeb Web Application โดยช่องโหว่บางส่วนนั้นได้เคยถูกเปิดเผยไปแล้วแต่ยังไม่ครอบคลุมในทุกอุปกรณ์ ทำให้ต้องมีการแพตช์เพิ่มเติม ตัวอย่างดังนี้

ช่องโหว่ CVE-2018-13381 ใน FortiProxy SSL VPN เป็นช่องโหว่แบบ Remote ที่เกิดจากการที่อุปกรณ์ไม่มีการรับรองความถูกต้องผ่านการร้องขอแบบ POST ซึ่งสามารถทำให้อุปกรณ์หยุดทำงานและนำไปสู่การเกิด DoS
ช่องโหว่ CVE-2018-13383 สามารถทำให้เกิด Overflow ใน VPN ผ่าน property HREF ของ JavaScript

ลูกค้า Fortinet ควรอัปเกรดเป็นเวอร์ชันที่มีการอัปเดตเพิ่มเติม โดยสามารถตรวจสอบเวอร์ชั่นอัปเดตล่าสุดอื่นๆ ได้ที่แหล่งที่มา

ที่มา : bleepingcomputer

Hacker ปล่อยข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

นักวิจัยด้านความปลอดภัยจาก Bank_Security ได้เปิดเผยถึงการค้นพบข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

ข้อมูล Credential ที่ถูกปล่อยนั้นเป็นไฟล์ "sslvpn_websession" ของ Fortinet VPN ที่ถูกใช้ประโยชน์จากช่องโหว่ CVE-2018-13379 ซึ่งเป็นช่องโหว่ path traversal ที่ส่งผลกระทบต่ออุปกรณ์ Fortinet FortiOS SSL VPN จำนวนมากที่ไม่ได้รับการเเพตซ์ความปลอดภัย ด้วยการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถเข้าถึงไฟล์ของระบบผ่านการร้องขอ HTTP request ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ ซึ่งผู้โจมตีจะสามารถเข้าถึงไฟล์ sslvpn_websession จาก Fortinet VPN ได้และจะสามารถขโมยข้อมูล Credential ของการเข้าสู่ระบบ โดยข้อมูล Credential ที่ถูกขโมยเหล่านี้สามารถใช้ในบุกรุกเครือข่ายได้

นักวิจัยได้ทำการวิเคราะห์ข้อมูลที่ถูกรั่วไหลออกมา พบว่า IP และโดเมนส่วนใหญ่เป็นของรัฐบาลจากทั่วโลกและเป็นของธนาคารและบริษัททางด้านการเงินทุนที่มีชื่อเสียง

ทั้งนี้ผู้ดูแลระบบของ Fortinet VPN ควรรีบทำการตรวจสอบและควรรีบทำการอัปเดตแพตซ์ความปลอดภัยเป็นการด่วนเพื่อเป็นการป้องกันการโจมตีจากผู้ประสงค์ร้าย

ที่มา:

https://www.