ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามรายงานภัยคุกคามทางไซเบอร์เกี่ยวกับแคมเปญที่ถูกเรียกว่า FortiBleed โดยอาศัยข้อมูลบัญชีผู้ใช้งานที่เกี่ยวข้องกับอุปกรณ์ Fortinet FortiGate อาจถูกนำไปใช้เข้าถึงระบบเครือข่ายขององค์กร แม้จะดำเนินการอัปเดตแพตช์ช่องโหว่ที่เกี่ยวข้องไปแล้ว
1. รายละเอียดภัยคุกคาม[1][2]
นักวิจัยเปิดเผยข้อมูลการวิเคราะห์แคมเปญ FortiBleed พบข้อมูลรับรองที่เกี่ยวข้องกับอุปกรณ์ Fortinet FortiGate กว่า 73,932 รายการ ครอบคลุม 194 ประเทศ โดยข้อมูลดังกล่าวถูกขโมยจากเครื่องคอมพิวเตอร์ของผู้ดูแลระบบหรือผู้ใช้งานที่ติดมัลแวร์ประเภท Infostealer เช่น RedLine, Vidar, Raccoon Stealer และ Lumma Stealer ข้อมูลที่รั่วไหลอาจประกอบด้วย URL สำหรับบริหารจัดการอุปกรณ์ Fortinet ชื่อผู้ใช้งาน รหัสผ่าน Session Cookies และข้อมูลการเชื่อมต่อ VPN
2. ผลกระทบที่อาจเกิดขึ้น
2.1 ผู้โจมตีอาจนำข้อมูลรับรองที่ถูกขโมยไปใช้เข้าถึงระบบ Fortinet หรือ VPN ขององค์กร
2.2 อาจนำไปสู่การเข้าถึงเครือข่ายภายในโดยไม่ได้รับอนุญาต
2.3 ข้อมูลบัญชีที่ยังคงใช้งานอยู่มีความเสี่ยงถูกนำไปใช้ในการโจมตีเพิ่มเติม เช่น การเคลื่อนย้ายภายในเครือข่าย (Lateral Movement) หรือการขโมยข้อมูล
2.4 แม้องค์กรจะอัปเดตแพตช์ช่องโหว่ที่เกี่ยวข้องแล้ว แต่หากยังไม่ได้เปลี่ยนรหัสผ่านหรือยกเลิก Session เดิม ความเสี่ยงอาจยังคงอยู่
3. ระบบที่อาจได้รับผลกระทบ
3.1 Fortinet FortiGate Firewall
3.2 Fortinet SSL VPN
3.3 ระบบบริหารจัดการ Fortinet ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
3.4 องค์กรที่ใช้รหัสผ่านซ้ำหรือไม่มีการเปิดใช้งาน MFA สำหรับบัญชีผู้ดูแลระบบและบัญชี VPN
4. แนวทางการป้องกันและลดความเสี่ยง
4.1 เปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบ Fortinet และบัญชี VPN ที่เกี่ยวข้องทั้งหมด
4.2 บังคับรีเซ็ต Session และ Access Token ที่ยังใช้งานอยู่
4.3 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับการเข้าถึงระบบบริหารจัดการและ VPN
4.4 ตรวจสอบเครื่องของผู้ดูแลระบบว่ามีการติดมัลแวร์ประเภท Infostealer หรือไม่
4.5 ตรวจสอบ Log การเข้าใช้งานย้อนหลัง เพื่อค้นหาการเข้าถึงจาก IP Address หรืออุปกรณ์ที่ไม่คุ้นเคย
4.6 ตรวจสอบว่าระบบ Fortinet ได้รับการอัปเดตแพตช์ความปลอดภัยล่าสุดแล้วหรือไม่
แหล่งอ้างอิง