Fortinet เตือนช่องโหว่ FortiManager ถูกใช้โจมตีแบบ Zero-day

Fortinet เปิดเผยช่องโหว่ร้ายแรงใน FortiManager ที่กำลังถูกใช้โจมตีแบบ Zero-day เพื่อขโมยข้อมูลการตั้งค่าและรหัสผ่านของอุปกรณ์ที่บริหารจัดการอยู่ โดยมีการพบการโจมตีหลายสัปดาห์ก่อนที่จะมีการแจ้งเตือน

Fortinet ได้ประกาศเปิดเผยช่องโหว่ที่มีความรุนแรงระดับ Critical ใน FortiManager API ที่มีรหัส CVE-2024-47575 โดยมีคะแนนความรุนแรง 9.8 จาก 10 ช่องโหว่นี้เกิดจากปัญหาการตรวจสอบสิทธิ์การเข้าถึงฟังก์ชันสำคัญใน FortiManager fgfmd daemon ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งแบบ Remote ได้โดยไม่จำเป็นต้องยืนยันตัวตน โดยบริษัทได้เริ่มส่งการแจ้งเตือนไปยังลูกค้าตั้งแต่วันที่ 13 ตุลาคมที่ผ่านมา

ช่องโหว่นี้ส่งผลกระทบต่อ FortiManager หลายเวอร์ชัน ตั้งแต่ 6.2.0 ถึง 7.6.0 รวมถึง FortiManager Cloud บางเวอร์ชัน โดยผู้โจมตีต้องมี Certificate ที่ถูกต้อง จากนั้นจึงสามารถบายพาสการตรวจสอบสิทธิ์ของ API เพื่อเข้าควบคุมระบบและขโมยข้อมูลสำคัญ เช่น ไฟล์การตั้งค่า, IP Address และ Credential ของอุปกรณ์ที่อยู่ภายใต้การจัดการ ข้อมูลที่ถูกขโมยนี้สามารถนำไปใช้โจมตีอุปกรณ์ FortiGate เพื่อเจาะเข้าสู่เครือข่ายองค์กรหรือลูกค้าของ MSP ได้

จากการตรวจสอบเบื้องต้น Fortinet ยืนยันว่ายังไม่พบหลักฐานการติดตั้งมัลแวร์หรือการเปลี่ยนแปลงการตั้งค่าบนระบบ FortiManager ที่ถูกบุกรุก อย่างไรก็ตาม บริษัทได้พบร่องรอยการโจมตีที่น่าสนใจ เช่น การเชื่อมต่อจากอุปกรณ์ FortiGate ปลอมที่ใช้ชื่อ “localhost” และหมายเลข Serial Number FMG-VMTM23017412 รวมถึงการสร้างไฟล์ /tmp/.tm และ /var/tmp/.tm บนระบบที่ถูกโจมตี นอกจากนี้ยังพบการโจมตีจาก IP Address จำนวน 4 หมายเลขที่โฮสต์อยู่บนผู้ให้บริการ Vultr

Fortinet แนะนำให้ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เช่น เวอร์ชัน 7.2.8 สำหรับ FortiManager 7.2 หรือ 7.4.5 สำหรับ FortiManager 7.4 หากยังไม่สามารถอัปเกรดได้ ควรใช้มาตรการป้องกันชั่วคราว เช่น การเปิดใช้งานคำสั่ง set fgfm-deny-unknown enable เพื่อป้องกันการลงทะเบียนอุปกรณ์ที่ไม่รู้จัก, สร้าง Custom Certificate สำหรับการเชื่อมต่อระหว่าง FortiGate และ FortiManager, และสร้างรายการ IP Address ที่อนุญาตให้เชื่อมต่อได้

ที่มา: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-fortimanager-flaw-used-in-zero-day-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenstorrent ระดมทุน 693 ล้านดอลลาร์ ท้าชน Nvidia

Tenstorrent สตาร์ทอัพผลิตชิป AI ที่ตั้งเป้าท้าชิง Nvidia ระดมทุนรอบ Series D นำโดย Samsung Securities และ AFW Partners ได้กว่า …

CEO Intel ประกาศลาออก ท่ามกลางความท้าทายด้านธุรกิจ Foundry

Pat Gelsinger ประกาศลาออกจากตำแหน่ง CEO ของ Intel หลังการประชุมกับคณะกรรมการบริษัทเกี่ยวกับการแข่งขันกับ Nvidia และการขยายธุรกิจ Foundry ที่ยังไม่เป็นไปตามเป้า