335/69 (IT) ประจำวันจันทร์ที่ 22 มิถุนายน 2569
มีรายงานว่า FortiBleed ได้เปิดโปงแคมเปญโจมตีขนาดใหญ่ที่พยายามเข้าสู่ระบบ Fortinet VPN ด้วยเทคนิค Credential Spraying เป็นจำนวนหลายพันล้านครั้ง ส่งผลให้องค์กรหลายแห่งทั่วโลกถูกบุกรุก โดยเหตุการณ์นี้ถูกตรวจพบโดย Volodymyr “Bob” Diachenko นักวิจัยจาก SecurityDiscovery.com หลังโครงสร้างพื้นฐานของผู้โจมตีถูกเปิดเผยบนอินเทอร์เน็ตในเดือนมิถุนายน 2569 รายงานระบุว่ากลุ่มผู้โจมตีไม่ได้มุ่งเป้าเฉพาะองค์กรใดองค์กรหนึ่ง แต่ดำเนินการในลักษณะอุตสาหกรรม โดยสแกน FortiGate SSL VPN endpoint มากกว่า 320,000 รายการ และ Sophos user portal มากกว่า 247,000 รายการ จากนั้นใช้ชุดข้อมูลบัญชีและรหัสผ่านพื้นฐานหลายพันชุดในการพยายามเข้าสู่ระบบจำนวนมหาศาล
จากข้อมูลที่พบ ผู้โจมตีใช้เครื่องมือเฉพาะชื่อ forticheck เพื่อทำ Credential Spraying ต่อ FortiGate โดยสร้างความพยายามเข้าสู่ระบบรวมประมาณ 1.16 พันล้านรูปแบบ ขณะเดียวกันยังมีแคมเปญคู่ขนานที่มุ่งโจมตี MSSQL Server กว่า 163,000 เครื่อง ด้วยความพยายามเข้าสู่ระบบมากกว่า 2.1 พันล้านครั้ง เมื่อผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐานของเป้าหมายได้ จะติดตั้งเครื่องมือดักจับข้อมูลบนเครือข่ายเพื่อรวบรวม Credential ที่ส่งผ่านโปรโตคอลที่ไม่มีการเข้ารหัสหรือป้องกันไม่เพียงพอ เช่น HTTP, FTP, SMTP, LDAP และโปรโตคอลอื่น ๆ รวมถึงดักจับ Hash ของ Kerberos และ NTLM เพื่อนำไปถอดรหัสด้วยโครงสร้างพื้นฐานประมวลผลประสิทธิภาพสูง ก่อนนำ Credential ที่ได้ไปใช้เข้าถึงระบบเพิ่มเติม เช่น การยึด Session VPN และเข้าถึง Active Directory
รายงานระบุว่าชุดข้อมูลการโจมตีครอบคลุมอุปกรณ์ FortiGate ที่เปิดเผยสู่สาธารณะ 73,932 รายการ ในองค์กร 21,613 แห่ง ครอบคลุม 207 ประเทศ โดยภาคส่วนที่มีความเสี่ยงสูง ได้แก่ ผู้ให้บริการ IT โทรคมนาคม บริการทางการเงิน และหน่วยงานภาครัฐ ทั้งนี้มีการอ้างว่าอย่างน้อย 4 องค์กรถูกบุกรุกอย่างสมบูรณ์ในหลายประเทศ เช่น ญี่ปุ่น ไต้หวัน เวียดนาม อิรัก และตุรกี อย่างไรก็ตาม ข้อมูลบางส่วนยังเป็นการประเมินของผู้วิจัยและยังไม่ได้รับการยืนยัน ผู้ดูแลระบบที่ใช้งาน FortiGate ควรลดการเปิดเผย Management Interface และ SSL VPN ต่ออินเทอร์เน็ตโดยตรง อัปเดต FortiOS เปลี่ยนรหัสผ่านของบัญชีผู้ดูแลและบัญชีภายในทั้งหมด ยกเลิก Session VPN ที่ยังใช้งานอยู่ รวมถึงตรวจสอบ Credential ของพนักงานที่อาจรั่วไหลจาก Infostealer เพื่อจำกัดความเสี่ยงจากการถูกนำกลับมาใช้โจมตีซ้ำ
แหล่งข่าว : https://securityaffairs.com/193931/hacking/fortibleed-exposes-global-credential-spraying-operation.html