พบ Ransomware ตัวใหม่ใช้ประโยชน์จากช่องโหว่เก่าของ Fortinet VPN เพื่อโจมตีเครื่องที่ยังไม่ได้แพทช์

Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง

เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ

ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky

ที่มา: bleepingcomputer

Thought you were safe from the Fortinet SSH backdoor? Think again

จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้น และพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 เท่านั้น ล่าสุดพบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัว และได้เปิดเผยถึงผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมดังต่อไปนี้

FortiAnalyzer รุ่น 5.0.5 ถึง 5.0.11 และ 5.2.0 ถึง 5.2.4
FortiSwitch รุ่น 3.3.0 ถึง 3.3.2
FortiCache รุ่น 3.0.0 ถึง 3.0.7 (รุ่น 3.1 ไม่ได้รับผลกระทบ)
อุปกรณ์ที่ใช้ FortiOS รุ่น 4.1.0 ถึง 4.1.10 และ 4.2.0 ถึง 4.2.15 และ 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7

ปัจจุบันนี้เริ่มมีผู้โจมตี Scan หาช่องโหว่นี้ของ Fortinet บน Public IP แล้ว โดยมี IP ต้องสงสัยหลักๆ ที่พยายามทำการ Scan หาช่องโหว่เหล่านี้อย่างต่อเนื่องคือ 124.160.116.194 และ 183.131.19.18 ซึ่งมาจากประเทศจีน ดังนั้นผู้ดูแลระบบควรจะรีบ Patch ระบบทั้งหมดที่ได้รับผลกระทบทันที ในขณะที่อย่างน้อยๆ ถ้าหาก Patch ไม่ได้ ก็ควรกำหนด Firewall Rule หรือ ACL ให้บล็อคการเข้าถึงจาก IP Address สองชุดนี้เสียก่อน

ที่มา : theregister

Fortinet firewalls feature hard-coded password that acts as a backdoor

หลังจากพบโค้ดลับใน ScreenOS ของ Juniper NetScreen เมื่อไม่กี่อาทิตย์ที่ผ่านมา ปรากฏว่าพบช่องโหว่คล้ายๆกันในอุปกรณ์ firewall ของ Fortinet โดยอยู่ใน FortiOS รุ่น 4.x จนถึงรุ่น 5.0.7

นาย Ralf-Philipp Weinmann ผู้ที่เคยเปิดเผยรหัสผ่านของ ScreenOS ก็มาเปิดเผยรหัสผ่านของ FortiOS ด้วย ซึ่งรหัสผ่านที่ฝังไว้ใน FortiOS คือ "FGTAbc11*xy+Qqz27" รวมทั้งมีการแจกโค้ดที่ผ่านการทดสอบแล้วไว้ที่ seclists.