Fortinet ออกมาแจ้งเตือนการพบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน FortiOS SSL VPN ซึ่งอาจกำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน
CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านทาง request ที่ถูกสร้างขึ้น (more…)
นักวิจัยรายงานการพบกลุ่มแฮ็กเกอร์จีนกำลังใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการ Fortinet FortiOS ที่มีความรุนแรงระดับกลาง ซึ่งปัจจุบันมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปเรียบร้อยแล้ว
Mandiant บริษัทผู้เชี่ยวชาญทางด้าน Threat intelligence ระบุว่า การโจมตีดังกล่าวเป็นส่วนหนึ่งของแคมเปญการโจมตีขนาดใหญ่ที่ออกแบบมาเพื่อติดตั้ง backdoor ลงบนอุปกรณ์ Fortinet และ VMware เพื่อสร้างช่องทางสำหรับการแฝงตัวอยู่ภายในระบบของเหยื่อ
โดย Mandiant กำลังติดตามการดำเนินการของกลุ่มดังกล่าวภายใต้ชื่อ UNC3886 ซึ่งคาดว่ามีความเกี่ยวข้องกับประเทศจีน
นักวิจัยของ Mandiant ระบุในรายงานการวิเคราะห์ทางเทคนิคว่า "UNC3886 เป็นกลุ่มแฮ็กเกอร์ที่มีความสามารถเฉพาะตัวในการดำเนินการโจมตีอุปกรณ์บนเครือข่าย สังเกตได้จากเครื่องมือที่ใช้ในแคมเปญการโจมตี"
โดย Mandiant พบว่า UNC3886 มุ่งเป้าหมายไปที่อุปกรณ์ไฟร์วอลล์ และเทคโนโลยี virtualization ที่ยังไม่รองรับจากอุปกรณ์ EDR โดยมีความสามารถในการจัดการเฟิร์มแวร์ของไฟล์วอลล์ และใช้ประโยชน์จากช่องโหว่ที่ถูกพบ แสดงให้เห็นว่ากลุ่มผู้โจมตีมีความเชี่ยวชาญในเทคโนโลยีดังกล่าว
ก่อนหน้านี้กลุ่มแฮ็กเกอร์กลุ่มนี้ เกี่ยวข้องกับการโจมตีที่มุ่งเป้าหมายเป็นเซิร์ฟเวอร์ VMware ESXi และ เซิร์ฟเวอร์ Linux vCenter ซึ่งเป็นส่วนหนึ่งของแคมเปญ hyperjacking ที่ออกแบบมาเพื่อฝัง backdoor เช่น VIRTUALPITA และ VIRTUALPIE
รายงานล่าสุดจาก Mandiant เกิดขึ้นภายหลังจากที่ Fortinet เปิดเผยว่าหน่วยงานของภาครัฐ และองค์กรขนาดใหญ่ ได้รับผลกระทบจากการถูกโจมตีโดยการใช้ช่องโหว่บน Fortinet FortiOS ซึ่งอาจส่งผลให้ข้อมูลสูญหาย และเกิดความเสียหายในระบบปฏิบัติการได้
โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-41328 (CVSS score: 6.5) เป็นช่องโหว่ path traversal บน FortiOS ซึ่งมีการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 7 มีนาคม 2023 ที่ผ่านมา
ตามรายงานจาก Mandiant ระบุว่าการโจมตีที่ UNC3886 ได้มุ่งเป้าไปที่อุปกรณ์ FortiGaet, FortiManager, และ FortiAnalyzer ของ Fortinert เพื่อติดตั้ง backdoor THINCRUST และ CASTLETAP ซึ่งจะสามารถทำได้หากอุปกรณ์ FortiManager ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต
โดย THINCRUST เป็น backdoor ที่เขียนด้วยภาษา Python และสามารถรันคำสั่ง รวมถึงอ่าน และเขียนไฟล์บนดิสก์ได้
รวมถึงเพย์โหลดที่เพิ่มเข้ามาใหม่ เรียกว่า "/bin/fgfm" (หรือเรียกว่า CASTLETAP) ซึ่งจะทำการเชื่อมต่อออกไปยังเซิร์ฟเวอร์ภายนอกที่ถูกควบคุมโดยผู้โจมตี เพื่อรับคำสั่ง, ติดตั้งเพย์โหลด และส่งข้อมูลที่ขโมยออกมาไปที่ C2 Server
นักวิจัยระบุว่า "เมื่อ CASTLETAP ถูกติดตั้งบนไฟร์วอลล์ FortiGate แล้ว ผู้โจมตีจะเชื่อมต่อกับเครื่อง ESXi และ vCenter เพื่อสร้างช่องทางการแฝงตัวบนระบบ ซึ่งทำให้สามารถเข้าถึง hypervisors และเครื่อง guest อื่น ๆ"
ในกรณีที่อุปกรณ์ FortiManager มีการจำกัดการเข้าถึงจากอินเทอร์เน็ต ผู้ไม่หวังดีจะใช้เทคนิค Pivoting โดยการเชื่อมต่อจาก FortiGate Firewall ที่โจมตีด้วย CASTLETAP เพื่อฝัง reverse shell backdoor ชื่อ REPTILE ("/bin/klogd") บนระบบจัดการเครือข่ายเพื่อให้สามารถกลับเข้าถึงระบบได้อีกครั้ง
UNC3886 ใช้เครื่องมือชื่อ TABLEFLIP เพื่อเชื่อมต่อโดยตรงกับอุปกรณ์ FortiManager โดยไม่สนใจ ACL (access-control list) ที่กำหนดไว้ในอุปกรณ์ FortiGate
การโจมตีนี้ไม่ใช่ครั้งแรกที่กลุ่มผู้ไม่หวังดีจากจีน มุ่งเป้าหมายไปยังอุปกรณ์เครือข่ายเพื่อแพร่กระจายมัลแวร์ โดยก่อนหน้านี้ก็พบการโจมตีโดยการใช้ช่องโหว่อื่น ๆ ในอุปกรณ์ Fortinet และ SonicWall
รายงานจาก Rapid7 พบว่าผู้ไม่หวังดีกำลังพัฒนา และเผยแพร่เครื่องมือที่ใช้ในการโจมตีได้รวดเร็วขึ้นกว่าที่ผ่านมา โดยมีช่องโหว่มากถึง 28 รายการ ที่ถูกนำมาใช้ในการโจมตีเพียง 7 วัน ภายหลังจากมีการเปิดเผยข้อมูลออกสู่สาธารณะ ซึ่งเพิ่มขึ้น 12% จากปี 2021 และเพิ่มขึ้น 87% จากปี 2020
กลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับประเทศจีนได้กลายเป็นผู้เชี่ยวชาญเฉพาะด้านในการใช้ช่องโหว่ zero-day และการแพร่กระจายมัลแวร์ที่ปรับแต่งให้เหมาะสม เพื่อขโมยข้อมูลประจำตัวผู้ใช้งาน และแฝงตัวบนระบบเครือข่ายของเป้าหมาย
Mandiant ระบุว่า "การโจมตีนี้เป็นหลักฐานที่ชี้ให้เห็นว่าผู้โจมตีที่มีความเชี่ยวชาญ กำลังใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึง และค้นหาข้อมูลของเป้าหมาย โดยเฉพาะเทคโนโลยีที่ไม่รองรับการป้องกันจากอุปกรณ์ EDR"
ที่มา : thehackernews
Fortinet ประกาศแจ้งเตือนการพบการโจมตีโดยการใช้ช่องโหว่ใน FortiOS ภายหลังจากที่พึ่งมีการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ไปในช่วงต้นเดือนที่ผ่านมา โดยผู้โจมตีมีเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และองค์กรขนาดใหญ่ ทำให้อาจส่งผลกระทบต่อระบบปฏิบัติการ ไฟล์ และข้อมูลเสียหายได้ (more…)
Fortinet ได้ประกาศอัปเดต Patch ช่องโหว่ Buffer Overflow ใน FortiOS ที่อาจทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-42475 เป็นช่องโหว่ heap-based buffer overflow ใน FortiOS หลาย ๆ version มี CVSSv3 : 9.3 ซึ่งจะสามารถทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ ซึ่งหากโจมตีสำเร็จก็จะสามารถเข้าควบคุมได้แบบเต็มรูปแบบ
วิธีตรวจสอบหากถูกโจมตีโดยช่องโหว่
ตรวจพบว่ามี Log ตามรายการด้านล่างนี้บนระบบหรือไม่
Logdesc="Application crashed" and msg="[...] application:sslvpnd,[...], Signal 11 received, Backtrace: [...]"
ตรวจสอบไฟล์ตามรายการด้านล่างนี้ว่าพบการเปลี่ยนแปลงไปจากเดิมหรือไม่
/data/lib/libips.
Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง
เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ
ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky
ที่มา: bleepingcomputer
จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้น และพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 เท่านั้น ล่าสุดพบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัว และได้เปิดเผยถึงผลิตภัณฑ์ที่ได้รับผลกระทบเพิ่มเติมดังต่อไปนี้
FortiAnalyzer รุ่น 5.0.5 ถึง 5.0.11 และ 5.2.0 ถึง 5.2.4
FortiSwitch รุ่น 3.3.0 ถึง 3.3.2
FortiCache รุ่น 3.0.0 ถึง 3.0.7 (รุ่น 3.1 ไม่ได้รับผลกระทบ)
อุปกรณ์ที่ใช้ FortiOS รุ่น 4.1.0 ถึง 4.1.10 และ 4.2.0 ถึง 4.2.15 และ 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7
ปัจจุบันนี้เริ่มมีผู้โจมตี Scan หาช่องโหว่นี้ของ Fortinet บน Public IP แล้ว โดยมี IP ต้องสงสัยหลักๆ ที่พยายามทำการ Scan หาช่องโหว่เหล่านี้อย่างต่อเนื่องคือ 124.160.116.194 และ 183.131.19.18 ซึ่งมาจากประเทศจีน ดังนั้นผู้ดูแลระบบควรจะรีบ Patch ระบบทั้งหมดที่ได้รับผลกระทบทันที ในขณะที่อย่างน้อยๆ ถ้าหาก Patch ไม่ได้ ก็ควรกำหนด Firewall Rule หรือ ACL ให้บล็อคการเข้าถึงจาก IP Address สองชุดนี้เสียก่อน
ที่มา : theregister
หลังจากพบโค้ดลับใน ScreenOS ของ Juniper NetScreen เมื่อไม่กี่อาทิตย์ที่ผ่านมา ปรากฏว่าพบช่องโหว่คล้ายๆกันในอุปกรณ์ firewall ของ Fortinet โดยอยู่ใน FortiOS รุ่น 4.x จนถึงรุ่น 5.0.7
นาย Ralf-Philipp Weinmann ผู้ที่เคยเปิดเผยรหัสผ่านของ ScreenOS ก็มาเปิดเผยรหัสผ่านของ FortiOS ด้วย ซึ่งรหัสผ่านที่ฝังไว้ใน FortiOS คือ "FGTAbc11*xy+Qqz27" รวมทั้งมีการแจกโค้ดที่ผ่านการทดสอบแล้วไว้ที่ seclists.