CISA เตือนช่องโหว่ Fortinet RCE เริ่มถูกใช้โจมตีแล้ว

CISA เปิดเผยว่าช่องโหว่ Remote Code Execution (RCE) ร้ายแรงใน FortiOS กำลังถูกใช้โจมตีแล้ว โดยหน่วยงานรัฐบาลสหรัฐฯ ต้องแพตช์ภายใน 3 สัปดาห์

CISA (Cybersecurity and Infrastructure Security Agency) ได้เปิดเผยว่าช่องโหว่ Remote Code Execution (RCE) ที่ร้ายแรงใน FortiOS กำลังถูกใช้โจมตีแล้ว ช่องโหว่นี้มีรหัส CVE-2024-23113 เกิดจากความบกพร่องของ fgfmd daemon ทำให้ผู้โจมตีสามารถรันคำสั่งหรือโค้ดใดๆ บนอุปกรณ์ที่ยังไม่ได้แพตช์ได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้ส่งผลกระทบต่อ FortiOS 7.0 ขึ้นไป, FortiPAM 1.0 ขึ้นไป, FortiProxy 7.0 ขึ้นไป และ FortiWeb 7.4

Fortinet ได้เปิดเผยและแพตช์ช่องโหว่นี้ตั้งแต่เดือนกุมภาพันธ์ โดยแนะนำให้ผู้ดูแลระบบปิดการเข้าถึง fgfmd daemon สำหรับทุก interface เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น อย่างไรก็ตาม การทำเช่นนี้จะทำให้ FortiManager ไม่สามารถค้นหา FortiGate ได้ ด้าน CISA ได้เพิ่มช่องโหว่นี้เข้าสู่ Known Exploited Vulnerabilities Catalog แล้ว พร้อมทั้งสั่งการให้หน่วยงานรัฐบาลกลางสหรัฐฯ ต้องแพตช์อุปกรณ์ FortiOS ในเครือข่ายของตนภายใน 3 สัปดาห์ หรือภายในวันที่ 30 ตุลาคมนี้

CISA เตือนว่าช่องโหว่ประเภทนี้เป็นรูปแบบการโจมตีที่ผู้โจมตีใช้บ่อยและก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อหน่วยงานรัฐบาลกลาง นอกจากนี้ ในเดือนมิถุนายนที่ผ่านมา Dutch Military Intelligence and Security Service (MIVD) ได้เตือนว่าแฮกเกอร์ได้ใช้ช่องโหว่ RCE ที่ร้ายแรงอีกตัวหนึ่งใน FortiOS (CVE-2022-42475) เพื่อโจมตีและติดตั้งมัลแวร์บนอุปกรณ์ Fortigate กว่า 20,000 เครื่องทั่วโลกในช่วงปี 2022 ถึง 2023

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-says-critical-fortinet-rce-flaw-now-exploited-in-attacks/