อุปกรณ์ Fortinet กว่า 16,000 เครื่องถูกบุกรุกด้วยแบ็คดอร์แบบ symlink

อุปกรณ์ Fortinet กว่า 16,000 เครื่องถูกบุกรุกด้วยแบ็คดอร์แบบ symlink

มีการตรวจพบอุปกรณ์ Fortinet ที่เปิดเผยสู่สาธารณะบนอินเทอร์เน็ตจำนวนมาก ซึ่งพบว่ามีประมาณ 16,620 เครื่องได้รับผลกระทบจากการถูกเจาะโดยใช้ backdoor แบบใหม่ผ่านการสร้าง symbolic link ในโฟลเดอร์ที่ให้บริการไฟล์ภาษา (language files folder) บนอุปกรณ์ FortiGate ที่เปิดใช้งาน SSL-VPN

การโจมตีนี้ไม่ได้เกิดจากการใช้ช่องโหว่ใหม่ แต่เป็นการใช้งานช่องโหว่ที่รู้จักกันมานาน โดยผู้โจมตีในช่วงปี 2023 ถึง 2024 ใช้วิธีเจาะเข้าระบบ ผ่านช่องทางที่เคยถูกแพทซ์ไปแล้ว จากนั้นจึงสร้าง symbolic link ในโฟลเดอร์ไฟล์ภาษาซึ่งเปิดเผยต่อสาธารณะ ทำให้ผู้โจมตีสามารถเข้าถึง root filesystem ได้ในระดับ read-only แม้ว่าอุปกรณ์จะได้รับการอัปเดตแก้ไขปัญหาช่องโหว่เบื้องต้นแล้วก็ตาม

ในทางปฏิบัติ ผู้โจมตีจะได้รับสิทธิ์ในการเข้าถึงไฟล์สำคัญของอุปกรณ์ เช่น การตั้งค่าและข้อมูลรับรองที่อาจถูกบันทึกไว้ ซึ่งเป็นความเสี่ยงต่อความปลอดภัยของระบบ ภายหลังจากพบปัญหาดังกล่าว Fortinet ได้ออกประกาศแจ้งเตือนและแนะนำให้ลูกค้าตรวจสอบอุปกรณ์ของตน พร้อมทั้งออกอัปเดต AV/IPS signature และ firmware ที่สามารถตรวจจับและลบ symbolic link ที่เป็นอันตรายนี้ออกจากระบบได้

องค์กรและผู้ดูแลระบบควรสม่ำเสมอตรวจสอบความปลอดภัยของอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต และรีเซ็ตรหัสผ่านหรือปรับเปลี่ยนการตั้งค่าที่อาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต เพื่อป้องกันไม่ให้เกิดการโจมตีในอนาคตต่อไป

ที่มา: Bleepingcomputer

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com