ช่องโหว่ไฟร์วอลล์ Fortinet อาจเป็นเหตุให้แฮกเกอร์ยึดการควบคุมอุปกรณ์
ช่องโหว่ ใน ไฟร์วอลล์ Fortinet อาจเป็นเหตุให้แฮกเกอร์เข้ายึดการควบคุมอุปกรณ์
ช่องโหว่ที่ยังไม่ถูกอุดรูรั่วในระบบรักษาความปลอดภัยอาจทำให้ถูกยึดการควบคุมไปได้
บั๊กที่ถูกพบบน FortiWeb ซึ่งเป็นแพลตฟอร์มเว็บแอปพลิเคชันไฟร์วอลล์ (WAF) ของ Fortinet อาจเปิดช่องให้แฮกเกอร์เข้าควบคุมอุปกรณ์และเรียกใช้คำสั่งบนอุปกรณ์ได้
นักวิจัยของ Rapid7 กล่าวว่า ช่องโหว่ของระบบปฏิบัติการจากการทำ Command Injection ซึ่งอยู่ในหน้าอินเตอร์เฟซการจัดการของ FortiWeb อาจทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งของระบบปฏิบัติการจากระยะไกลได้ตามอำเภอใจ ผ่านหน้ากำหนดค่าเซิร์ฟเวอร์ SAML ในหน้าเพจ โดยจะพบช่องโหว่นี้อยู่ใน FortiWeb เวอร์ชัน 6.3.11 และต่ำกว่า
William Vu นักวิจัยของ Rapid7 ผู้ค้นพบบั๊กตัวนี้ พบว่านี่คือเคสตัวอย่างของช่องโหว่บั๊กข้อ CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') หรือบั๊กช่องโหว่ที่เกิดจากการทำ Command Injection ไม่ถูกต้อง ซึ่งบั๊กช่องโหว่ตัวนี้ได้คะแนนความร้ายแรงถึง 8.7
Tod Beardsley ผู้อำนวยการฝ่ายวิจัยของ Rapid7 กล่าวว่า แฮกเกอร์ที่สามารถยืนยันตัวตนได้ จะเข้ามายังหน้าอินเทอร์เฟซจัดการอุปกรณ์ของ FortiWeb ก่อน โดยพวกเขาสามารถลักลอบนำคำสั่งเข้ามาโดยใช้ backticks ในหน้าเพจกำหนดค่า SAML Server ในช่องของ “ชื่อ” คำสั่งเหล่านี้จะถูกดำเนินการในฐานะ Root User ของระบบปฏิบัติการพื้นฐาน
“ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างสมบูรณ์ โดยเข้าถึงสิทธิสูงสุดที่เข้าถึงได้ พวกเขาอาจฝัง Shell ไว้อย่างถาวร หรือซอฟต์แวร์ขุดคริปโต หรืออาจติดตั้งซอฟต์แวร์ที่เป็นอันตรายอื่น ๆ ” Beardsley กล่าว
Beardsley ยังเสริมว่า อาจมีกรณีที่ไม่น่าเป็นไปได้อย่างการที่หน้าอินเทอร์เฟซการจัดการถูกเปิดเผยในอินเทอร์เน็ต ซึ่งพวกเขาสามารถใช้แพลตฟอร์มที่ถูกบุกรุกดังกล่าวในการเข้าถึงเครือข่ายที่ได้รับผลกระทบจนเข้าถึงได้มากกว่าโซนที่ได้รับอนุญาตให้เข้าถึงได้ในอินเตอร์เน็ต (DMZ: Demilitarized Zone) เขาเสริมว่า นักวิจัยของบริษัทสามารถระบุอุปกรณ์ได้น้อยกว่า 300 เครื่องที่ดูเหมือนจะเปิดเผยหน้าอินเทอร์เฟซการจัดการของพวกเขาในอินเตอร์เน็ตทั่วไป
แม้แฮกเกอร์จะต้องยืนยันตัวตนให้ผ่านก่อนจึงจะใช้ประโยชน์จากบั๊กนี้ได้ นักวิจัยยังเตือนว่าพวกเขาอาจใช้ผสมผสานวิธีดังกล่าวเข้ากับบั๊กยืนยันตัวตนอื่น ๆ ได้อีก เช่น CVE-2020-29015
“ในตอนที่ยังไม่มีแพทช์มาอุดช่องโหว่ ผู้ใช้ควรปิดการเข้าถึงเพื่อใช้งานหน้าอินเทอร์เฟซการจัดการอุปกรณ์ FortiWeb จากเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งรวมถึงอินเทอร์เน็ตด้วย” Beardsley กล่าว “ปกติแล้ว อินเทอร์เฟซการจัดการสำหรับอุปกรณ์อย่าง FortiWeb จะไม่มีการเปิดเผยในอินเทอร์เน็ตโดยตรง และเข้าถึงได้ผ่านเครือข่ายที่เชื่อถือได้ เครือข่ายภายใน หรือผ่านการเชื่อมต่อ VPN ที่ปลอดภัยเท่านั้น”
ในเดือนมิถุนายน นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ของไฟร์วอลล์ Fortinet FortiWeb ที่อาจทำให้ผู้โจมตีเข้าควบคุมอุปกรณ์รักษาความปลอดภัยได้อย่างเต็มรูปแบบ สิ่งนี้เกิดขึ้นหลังจาก FBI ออกคำเตือนในเดือนพฤษภาคมว่ามีกลุ่ม APT ที่ใช้ประโยชน์จากอุปกรณ์ Fortigate ในการเข้าถึงเว็บเซิร์ฟเวอร์ที่เป็นเจ้าของโดเมนสำหรับรัฐบาลท้องถิ่น
สนใจสั่งซื้อ Fortinet >> https://www.quickserv.co.th/networking/FORTINET.html
ที่มา: https://bit.ly/38lKQyG
สงวนลิขสิทธิ์ Copyright © 2024 บริษัท ควิกเซิร์ฟ โปรไวเดอร์ จำกัด
124/124 หมู่ที่ 2 ถนนนครอินทร์ ตำบลบางสีทอง อำเภอบางกรวย จังหวัดนนทบุรี 11130
โทรศัพท์ 0-2496-1234 โทรสาร 0-2496-1001