Fortinet: New FortiOS RCE bug may have been exploited in attacks
Fortinet กล่าวว่าช่องโหว่ของ FortiOS SSL VPN ที่ได้รับการแพตช์เมื่อสัปดาห์ที่แล้วอาจถูกใช้ในการโจมตีที่ส่งผลกระทบต่อรัฐบาล การผลิต และองค์กรโครงสร้างพื้นฐานที่สำคัญ ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-27997 / FG-IR-23-097 ซึ่งเป็นจุดอ่อนของ heap-based buffer overflow ใน FortiOS และ FortiProxy SSL-VPN ที่สามารถปล่อยให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเรียกใช้โค้ดจากระยะไกล (RCE) ผ่านคำขอที่ออกแบบมาเพื่อประสงค์ร้าย โช่องโหว่ CVE-2023-27997 ถูกค้นพบระหว่างการตรวจสอบรหัสของโมดูล SSL-VPN หลังจากการโจมตีครั้งล่าสุดกับองค์กรของรัฐที่ใช้ประโยชน์จาก CVE-2022-42475 FortiOS SSL-VPN แบบ zero-day
Fortinet กล่าวในรายงานที่เผยแพร่เมื่อวันจันทร์ว่าพบปัญหาหนึ่ง (FG-IR-23-097) ซึ่งอาจถูกนำไปใช้ประโยชน์ในบางกรณีและเรากำลังทำงานอย่างใกล้ชิดกับลูกค้าเพื่อติดตามสถานการณ์ ด้วยเหตุผลนี้หากลูกค้าเปิดใช้งาน SSL-VPN ขอแนะนำให้ลูกค้าดำเนินการอัปเกรดเฟิร์มแวร์เป็นรุ่นล่าสุดในทันที หากลูกค้าไม่ได้ใช้งาน SSL-VPN ความเสี่ยงของปัญหานี้จะลดลง อย่างไรก็ตาม Fortinet ก็ยังคงแนะนำให้อัปเกรดเฟิร์มแวร์เป็นรุ่นล่าสุด ตามข้อมูลของ Shodan ไฟร์วอลล์ของ Fortigate มากกว่า 250,000 ตัวถูกเปิดเผยบนอินเทอร์เน็ต และมีความเป็นไปได้สูงที่ไฟร์วอลล์จำนวนมากจะเสี่ยงต่อการถูกโจมตี เนื่องจากข้อผิดพลาดนี้ส่งผลกระทบต่อเฟิร์มแวร์เวอร์ชันก่อนหน้าทั้งหมด แม้ว่าจะไม่มีการเชื่อมโยงใดๆ กับการโจมตี Volt Typhoon ที่เพิ่งเปิดเผยเมื่อเร็วๆ นี้โดยกำหนดเป้าหมายไปที่องค์กรโครงสร้างพื้นฐานที่สำคัญทั่วสหรัฐอเมริกา แต่ Fortinet ได้กล่าวถึงความเป็นไปได้ที่กลุ่มแฮ็กเกอร์ของจีนอาจกำหนดเป้าหมายไปที่ช่องโหว่ CVE-2023-27997
ทางด้าน Fortinet ยังกล่าวเสริมอีกว่าเราไม่พบการเชื่อมโยง FG-IR-23-097 กับแคมเปญ Volt Typhoon อย่างไรก็ตาม Fortinet คาดว่าผู้โจมตีทั้งหมด รวมถึงผู้ที่อยู่เบื้องหลังแคมเปญ Volt Typhoon อาจจะใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แพตช์ในซอฟต์แวร์และอุปกรณ์ที่ใช้กันอย่างแพร่หลายต่อไป Volt Typhoon เป็นที่รู้จักกันดีในเรื่องการแฮ็กอุปกรณ์ Fortinet FortiGuard ที่เปิดเผยอินเทอร์เน็ตผ่านช่องโหว่ Zero-day ที่ไม่รู้จักเพื่อเข้าถึงเครือข่ายขององค์กรในภาคส่วนสำคัญที่หลากหลาย Fortinet กล่าวในวันนี้ว่าผู้โจมตีมุ่งเป้าไปที่อุปกรณ์ที่ไม่ได้แพตช์ CVE-2022-40684 เป็นหลัก ซึ่งเป็นช่องโหว่บายพาสการตรวจสอบสิทธิ์ในอุปกรณ์ FortiOS / FortiProxy / FortiSwitchManager สำหรับการเข้าถึงครั้งแรก อย่างไรก็ตาม Fortinet คาดว่าผู้โจมตีจะเริ่มใช้ช่องโหว่ใหม่ๆในการโจมตี เมื่อมีการเปิดเผยข้อมูลต่างๆหลังจากนี้
https://www.bleepingcomputer.com/news/security/fortinet-new-fortios-rce-bug-may-have-been-exploited-in-attacks/