Fortinet เปิดเผยช่องโหว่ร้ายแรงใน FortiManager ที่กำลังถูกใช้โจมตีแบบ Zero-day เพื่อขโมยข้อมูลการตั้งค่าและรหัสผ่านของอุปกรณ์ที่บริหารจัดการอยู่ โดยมีการพบการโจมตีหลายสัปดาห์ก่อนที่จะมีการแจ้งเตือน
Fortinet ได้ประกาศเปิดเผยช่องโหว่ที่มีความรุนแรงระดับ Critical ใน FortiManager API ที่มีรหัส CVE-2024-47575 โดยมีคะแนนความรุนแรง 9.8 จาก 10 ช่องโหว่นี้เกิดจากปัญหาการตรวจสอบสิทธิ์การเข้าถึงฟังก์ชันสำคัญใน FortiManager fgfmd daemon ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งแบบ Remote ได้โดยไม่จำเป็นต้องยืนยันตัวตน โดยบริษัทได้เริ่มส่งการแจ้งเตือนไปยังลูกค้าตั้งแต่วันที่ 13 ตุลาคมที่ผ่านมา
ช่องโหว่นี้ส่งผลกระทบต่อ FortiManager หลายเวอร์ชัน ตั้งแต่ 6.2.0 ถึง 7.6.0 รวมถึง FortiManager Cloud บางเวอร์ชัน โดยผู้โจมตีต้องมี Certificate ที่ถูกต้อง จากนั้นจึงสามารถบายพาสการตรวจสอบสิทธิ์ของ API เพื่อเข้าควบคุมระบบและขโมยข้อมูลสำคัญ เช่น ไฟล์การตั้งค่า, IP Address และ Credential ของอุปกรณ์ที่อยู่ภายใต้การจัดการ ข้อมูลที่ถูกขโมยนี้สามารถนำไปใช้โจมตีอุปกรณ์ FortiGate เพื่อเจาะเข้าสู่เครือข่ายองค์กรหรือลูกค้าของ MSP ได้
จากการตรวจสอบเบื้องต้น Fortinet ยืนยันว่ายังไม่พบหลักฐานการติดตั้งมัลแวร์หรือการเปลี่ยนแปลงการตั้งค่าบนระบบ FortiManager ที่ถูกบุกรุก อย่างไรก็ตาม บริษัทได้พบร่องรอยการโจมตีที่น่าสนใจ เช่น การเชื่อมต่อจากอุปกรณ์ FortiGate ปลอมที่ใช้ชื่อ “localhost” และหมายเลข Serial Number FMG-VMTM23017412 รวมถึงการสร้างไฟล์ /tmp/.tm และ /var/tmp/.tm บนระบบที่ถูกโจมตี นอกจากนี้ยังพบการโจมตีจาก IP Address จำนวน 4 หมายเลขที่โฮสต์อยู่บนผู้ให้บริการ Vultr
Fortinet แนะนำให้ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เช่น เวอร์ชัน 7.2.8 สำหรับ FortiManager 7.2 หรือ 7.4.5 สำหรับ FortiManager 7.4 หากยังไม่สามารถอัปเกรดได้ ควรใช้มาตรการป้องกันชั่วคราว เช่น การเปิดใช้งานคำสั่ง set fgfm-deny-unknown enable เพื่อป้องกันการลงทะเบียนอุปกรณ์ที่ไม่รู้จัก, สร้าง Custom Certificate สำหรับการเชื่อมต่อระหว่าง FortiGate และ FortiManager, และสร้างรายการ IP Address ที่อนุญาตให้เชื่อมต่อได้