01/28/2023

Fortinet เตือนเครือข่ายภาครัฐกำลังโดนเจาะช่องโหว่บน SSL-VPN ที่ออกแพ็ตช์มาแล้วของตนเอง

Fortinet กล่าวว่า มีผู้โจมตีที่ไม่ทราบตัวตนกำลังเล่นงานช่องโหว่แบบ Zero-day บน FortiOS SSL-VPN รหัส CVE-2022-42475 ที่ออกแพ็ตช์ไปเมื่อเดือนที่แล้ว ซึ่งเป้าหมายส่วนใหญ่เป็นหน่วยงานภาครัฐ หรือองค์กรที่เกี่ยวข้องกับภาครัฐเป็นหลัก

ช่องโหว่นี้เป็น Buffer Overflow แบบ Heap-based ที่อยู่ใน FortiOS SSLVPNd ที่เปิดให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถทำให้อุปกรณ์เป้าหมายล่มได้จากระยะไกล หรือแม้กระทั่งเข้าไปรันโค้ดอันตรายได้ ซึ่งช่วงกลางเดือนธันวาคม Fortinet ได้ขอให้ลูกค้าแพ็ตช์อุปกรณ์เพื่อป้องกันการโจมตีที่เริ่มมีตั้งแต่ตอนนั้นแล้ว

สำหรับแพ็ตช์ดังกล่าว Fortinet ได้ออกมาเงียบๆ ตั้งแต่วันที่ 28 พฤศจิกายนใน FortiOS 7.2.3 ซึ่งตอนนั้นคือเงียบมาก ไม่บอกใครเลยว่าเป็นการอัพเดทเพื่อแก้ไข Zero-day แล้วลูกค้าค่อยได้รับการแจ้งเตือนเป็นการส่วนตัวในวันที่ 7 ธันวาคมผ่านตัว TLP:Amber

จากนั้นจึงค่อยเผยรายละเอียดสู่สาธารณะในวันที่ 12 ธันวาคม ซึ่งตอนนั้นก็เริ่มเฉลยแล้วว่าบั๊กดังกล่าวมีการโจมตีแล้วเป็นวงกว้าง พร้อมทั้งขอให้เหล่าแอดมินรีบเช็คร่องรอยการโดนโจมตี (Indicator of Compromise) และล่าสุดเมื่อวันพุธที่แล้วก็เผยว่าพบมีการติดตั้ง IPS Engine ที่โดนโทรจันผ่านช่องโหว่นี้ด้วย

อ่านเพิ่มเติมที่นี่ – BPC