ผู้ใช้ FortiManager ควรติดตั้งแพตช์แก้ไขโดยเร็วที่สุด

รายงานการค้นพบช่องโหว่ร้ายแรงใน FortiManager ซึ่งเป็นอุปกรณ์สำคัญในการบริหารจัดการระบบรักษาความปลอดภัยของเครือข่าย ช่องโหว่ที่ชื่อ "FortiJump" (CVE-2024-47575) นี้ถูกกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ UNC5820 นำไปใช้โจมตีเซิร์ฟเวอร์มากกว่า 50 เครื่องตั้งแต่เดือนมิถุนายน 2024

ช่องโหว่นี้เกิดจากปัญหาการตรวจสอบสิทธิ์ที่ไม่เข้มงวดในระบบ API ของ FortiManager ทำให้ผู้โจมตีสามารถเข้าควบคุมและรันคำสั่งต่างๆ บนอุปกรณ์ได้โดยไม่ต้องมีสิทธิ์เข้าถึงที่ถูกต้อง ผลกระทบที่ตามมาคือผู้โจมตีสามารถขโมยข้อมูลการตั้งค่าของอุปกรณ์ต่างๆ ที่เชื่อมต่อกับ FortiManager รวมถึงรหัสผ่านที่ถูกเข้ารหัส

FortiManager-VM ที่ควบคุมโดยผู้โจมตี
แหล่งที่มา: Mandiant

ส่วนหนึ่งของการโจมตี โดยสร้างไฟล์สี่ไฟล์ดังนี้:

• /tmp/.tm - ไฟล์เก็บถาวร gzip ที่ประกอบด้วยข้อมูลที่แยกออกมาเกี่ยวกับอุปกรณ์ FortiGate ที่ได้รับการจัดการ ข้อมูลเกี่ยวกับเซิร์ฟเวอร์ FortiManager และฐานข้อมูลทั่วโลก
• /fds/data/unreg_devices.txt - ประกอบด้วยหมายเลขซีเรียลและที่อยู่ IP ของอุปกรณ์ที่ไม่ได้ลงทะเบียน
• /fds/data/subs.dat.tmp - ไม่ทราบ
• /fds/data/subs.dat - ไฟล์นี้มีหมายเลขซีเรียลของอุปกรณ์ที่ควบคุมโดยผู้โจมตี ID ผู้ใช้ ชื่อบริษัท และที่อยู่อีเมล

Fortinet ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้ว และแนะนำให้ผู้ใช้ทุกคนอัปเดตระบบให้เร็วที่สุด นอกจากนี้ ยังมีมาตรการป้องกันเพิ่มเติม เช่น การจำกัดการเข้าถึงเฉพาะ IP ที่กำหนด และการป้องกันไม่ให้อุปกรณ์ที่ไม่รู้จักเข้ามาเชื่อมต่อ

การค้นพบช่องโหว่ FortiJump เป็นการเตือนให้เห็นถึงความสำคัญของการรักษาความปลอดภัยของระบบไอที การอัปเดตซอฟต์แวร์ให้ทันสมัย และการตรวจสอบระบบอย่างสม่ำเสมอเป็นสิ่งจำเป็นในการป้องกันการโจมตีทางไซเบอร์

วิธีป้องกัน

ข้อมูลจาก https://www.bleepingcomputer.com/news/security/mandiant-says-new-fortinet-fortimanager-flaw-has-been-exploited-since-june/