April 24, 2024

Fortinet ระบุบักใน FortiOS ถูกใช้เป็น Zero-day เพื่อโจมตีเครือข่ายของรัฐบาลแล้ว

จากที่เราเคยเผยแพร่เรื่องราวของบั๊กที่ได้รับการแก้ไขแล้วใน FortiOS ก่อนหน้านั้น ล่าสุด Fortinet ออกมาเปิดเผยว่า มีแฮกเกอร์ใช้ช่องโหว่นี้ ในการโจมตีที่กำหนดเป้าหมายไปที่รัฐบาลและองค์กรขนาดใหญ่ สรา้งความเสียหายต่อระบบปฏิบัติการและไฟล์ข้อมูล

บทความที่เกี่ยวข้อง : ช่องโหว่รุนแรงใน FortiOS และ FortiProxy อาจทำให้ผู้โจมตีสามารถเข้าถึงระบบได้จากระยะไกล

ในขณะที่คำแนะนำของข้อบกพร่องไม่ได้ระบุว่าข้อบกพร่องนั้นถูกนำไปใช้จริงก่อนที่แพตช์จะถูกปล่อยออกมา รายงานของ Fortinet ที่เผยแพร่เมื่อสัปดาห์ที่แล้วเปิดเผยว่าช่องโหว่ CVE-2022-41328 ถูกใช้เพื่อแฮ็กและทำลายอุปกรณ์ไฟร์วอลล์ FortiGate หลายเครื่องของลูกค้า

เหตุการณ์ดังกล่าวถูกค้นพบหลังจากอุปกรณ์ Fortigate ที่ถูกบุกรุกปิดตัวลงพร้อมกับข้อความ “ระบบเข้าสู่โหมดข้อผิดพลาดเนื่องจากข้อผิดพลาด FIPS: การทดสอบความสมบูรณ์ของเฟิร์มแวร์ด้วยตนเองล้มเหลว” และไม่สามารถบูตได้อีกครั้ง

Fortinet กล่าวว่าสิ่งนี้เกิดขึ้นเนื่องจากอุปกรณ์ที่เปิดใช้งาน FIPS ตรวจสอบความสมบูรณ์ของส่วนประกอบของระบบ และได้รับการกำหนดค่าให้ปิดและหยุดการบูตโดยอัตโนมัติ เพื่อป้องกันการละเมิดเครือข่ายหากตรวจพบการบุกรุก

โดยไฟร์วอลล์ Fortigate เหล่านี้ถูกเจาะผ่าน FortiManager บนระบบเครือข่ายของเหยื่อ

การตรวจสอบในภายหลังพบว่าแฮกเกอร์แก้ไขอิมเมจเฟิร์มแวร์ของอุปกรณ์ (/sbin/init) เพื่อเปิดใช้งานเพย์โหลด (/bin/fgfm) ก่อนที่กระบวนการบูตจะเริ่มต้นขึ้น

มัลแวร์นี้สามารถขโมยข้อมูล ดาวน์โหลดและเขียนไฟล์ หรือเปิด remote shells เมื่อได้รับแพ็กเก็ต ICMP ที่มีสตริง “;7(Zu9YTsA7qQ#vm”

Fortinet สรุปว่าการโจมตีมีเป้าหมายสูง โดยมีหลักฐานบางอย่างที่แสดงว่าแฮกเกอร์มุ่งโจมตีเครือข่ายของรัฐบาล และ “มีความสามารถระดับสูง” รวมถึงสามารถเข้าไปจัดการกับระบบปฏิบัติการของอุปกรณ์ FortiGate ได้

Fortinet จึงแนะนำให้ลูกค้าอัปเกรดเป็น FortiOS เวอร์ชันที่ได้รับการแก้ไขทันที เพื่อป้องกันความพยายามโจมตีที่อาจเกิดขึ้นตามมาอีก

ที่มา : Bleepingcomputer