CISA เตือนให้อัปเดตช่องโหว่ร้ายแรง SSL VPN ใน FortiOS อย่างด่วนที่สุด!

เมื่อไม่นานมานี้ Fortinet ได้มีการเผยถึงช่องโหว่ร้ายแรงใหม่ใน FortiOS ที่ทำให้คนร้ายสามารถทำการลอบรันโค้ด โดยกระทบต่อผู้ใช้ SSl VPN ไม่กี่วันถัดมาทาง CISA ได้ออกประกาศเร่งด่วนเตือนให้เร่งอัปเดต เนื่องจากพบการโจมตีจริงแล้ว

Credit: ShutterStock.com

CVE-2024-21762 เป็นช่องโหว่ร้ายแรงประเภท Out-of-bound Write ที่กำลังเป็นที่น่าจับตาด้วยความรุนแรงระดับ 9.6/10 ซึ่งสามารถใช้ทางทางไกลได้ โดยคนร้ายสามารถประดิษฐ์ HTTP Request พิเศษเพื่อเข้ามาโจมตี ปัจจุบันทาง Fortinet ได้อัปเดตแพตช์ให้ FortiOS แล้วตามตารางด้านล่าง จะเห็นได้ว่ายังกระทบไปถึง FortiProxy ด้วยเช่นกัน

ที่มา : fortinet

ปัจจุบันมีรายงานพบการโจมตีจริงแล้ว ซึ่ง CISA ได้อัปเดตช่องโหว่นี้เข้าในลิสต์ช่องโหว่ที่ต้องใส่ใจเรียบร้อย แน่นอนว่าด้วยชื่อเสียงในอดีตที่มีคนร้ายจำนวนมากได้ใช้ประโยชน์จากช่องโหว่ของ Fortinet เพื่อเข้าสู่หน่วยงานหรือองค์กร ยิ่งเป็นช่องโหว่ประเภท SSL VPN ด้วยแล้ว ผู้ใช้งานจึงพลาดไม่ได้ด้วยประการทั้งปวง แต่หากไม่สามารถอัปเดตได้คำแนะนำคือให้ปิด SSL VPN ให้ดี

นอกจากนี้ยังมีช่องโหว่ร้ายแรงอีกหนึ่งรายการที่ผู้ใช้ไม่ควรพลาดด้วยเช่นกันคือ CVE-2024-23113 (9.8/10) โดยเป็นช่องโหว่ในส่วนการรับการ string ใน fgfmd daemon ของ FortiOS ที่นำไปสู่ buffer overflow เพื่อทำการลอบรันโค้ด/คำสั่ง ได้

ที่มา : https://www.bleepingcomputer.com/news/security/new-fortinet-rce-flaw-in-ssl-vpn-likely-exploited-in-attacks/ และ https://www.helpnetsecurity.com/2024/02/12/critical-fortinet-fortios-flaw-exploited-in-the-wild-cve-2024-21762/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้