พบอุปกรณ์ Fortinet กว่า 16,000 เครื่องถูกบุกรุกด้วย Symlink Backdoor

Shadowserver Foundation รายงานพบอุปกรณ์ Fortinet กว่า 16,000 เครื่องที่เชื่อมต่ออินเทอร์เน็ตถูกบุกรุกด้วย Symlink Backdoor ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญได้แม้ว่าอุปกรณ์จะได้รับการแพตช์แล้วก็ตาม

เมื่อสัปดาห์ที่ผ่านมา Fortinet ได้ออกประกาศเตือนลูกค้าเกี่ยวกับกลไกการฝังตัวที่ถูกใช้โดยกลุ่มแฮกเกอร์เพื่อรักษาการเข้าถึงไฟล์ใน root filesystem ของอุปกรณ์ FortiGate ที่เคยถูกบุกรุกมาก่อนแม้จะได้รับการแพตช์แล้วก็ตาม ปัญหานี้ไม่ได้เกิดจากช่องโหว่ใหม่ แต่เป็นผลสืบเนื่องจากการโจมตีที่เริ่มตั้งแต่ปี 2023 ต่อเนื่องถึงปี 2024 โดยผู้โจมตีใช้ช่องโหว่แบบ Zero-day เพื่อเจาะระบบ FortiOS

วิธีการที่ผู้โจมตีใช้คือการสร้าง Symbolic Link ในโฟลเดอร์ไฟล์ภาษาเพื่อเชื่อมโยงไปยัง root filesystem บนอุปกรณ์ที่เปิดใช้งาน SSL-VPN เนื่องจากไฟล์ภาษาเหล่านี้สามารถเข้าถึงได้จากภายนอกบนอุปกรณ์ FortiGate ที่เปิดใช้ SSL-VPN ทำให้ผู้โจมตีสามารถเข้าไปยังโฟลเดอร์นั้นและได้สิทธิ์ในการเข้าถึงแบบ persistent read ไปยัง root filesystem แม้ว่าช่องโหว่เริ่มต้นจะได้รับการแพตช์แล้วก็ตาม

ในช่วงเดือนเมษายนนี้ Fortinet ได้เริ่มส่งอีเมลแจ้งเตือนลูกค้าเป็นการส่วนตัวเกี่ยวกับอุปกรณ์ FortiGate ที่ถูกตรวจพบโดย FortiGuard ว่าถูกบุกรุกด้วย Symlink Backdoor นี้ ทางบริษัทได้ออก AV/IPS Signature ที่อัปเดตแล้วซึ่งจะตรวจจับและลบ Symbolic Link ที่เป็นอันตรายออกจากอุปกรณ์ที่ถูกบุกรุก นอกจากนี้ เฟิร์มแวร์เวอร์ชันล่าสุดก็ได้รับการอัปเดตเพื่อตรวจจับและลบลิงก์ดังกล่าว พร้อมทั้งป้องกันไม่ให้ไฟล์และโฟลเดอร์ที่ไม่รู้จักถูกให้บริการโดยเว็บเซิร์ฟเวอร์ที่ติดตั้งมากับระบบ

สำหรับองค์กรที่พบว่าอุปกรณ์ถูกบุกรุก มีความเป็นไปได้ว่าผู้โจมตีอาจเข้าถึงไฟล์การตั้งค่าล่าสุด รวมถึงข้อมูลการรับรองตัวตนต่างๆ ดังนั้น ผู้ดูแลระบบควรรีเซ็ตรหัสผ่านทั้งหมดและปฏิบัติตามขั้นตอนอื่นๆ ตามคู่มือที่ Fortinet แนะนำไว้ เพื่อป้องกันการถูกโจมตีในอนาคต

ที่มา: https://www.bleepingcomputer.com/news/security/over-16-000-fortinet-devices-compromised-with-symlink-backdoor/