Fortinet ເຕືອນໃຫ້ຜູ້ໃຊ້ເຝົ້າລະວັງຊ່ອງໂຫວ່ Zero-day ທີ່ຖືກໃຊ້ໂຈມຕີແລ້ວ
Fortinet ໄດ້ອອກມາເຕືອນເຖິງຊ່ອງໂຫວ່ Zero-day ທີ່ມີການໃຊ້ງານໂຈມຕີຈິງ ຊຶ່ງພົບວ່າຄົນຮ້າຍມີການໃຊ້ຊ່ອງໂຫວ່ ເພື່ອເຂົ້າໄປສ້າງບັນຊີໃໝ່ສຳລັບການໃຊ້ SSL VPN ລວມເຖິງມີການປ່ຽນແປງຄ່າຕ່າງໆ ໂດຍແນະນຳໃຫ້ປິດການເຂົ້າເຖິງໜ້າບໍລິຫານຈັດການຜ່ານ HTTP/HTTPS ໄວ້ກ່ອນ
Fortinet ໄດ້ອອກມາເຕືອນເຖິງຊ່ອງໂຫວ່ Zero-day ທີ່ມີການໃຊ້ງານໂຈມຕີຈິງ ຊຶ່ງພົບວ່າຄົນຮ້າຍມີການໃຊ້ຊ່ອງໂຫວ່ ເພື່ອເຂົ້າໄປສ້າງບັນຊີໃໝ່ສຳລັບການໃຊ້ SSL VPN ລວມເຖິງມີການປ່ຽນແປງຄ່າຕ່າງໆ ໂດຍແນະນຳໃຫ້ປິດການເຂົ້າເຖິງໜ້າບໍລິຫານຈັດການຜ່ານ HTTP/HTTPS ໄວ້ກ່ອນ
CVE-2024-55591 ເປັນຊ່ອງໂຫວ່ Authentication Bypass ຊຶ່ງກະທົບກັບ FortiOS ຮູ່ນ 7.0.0 – 7.0.16 ແລະ FortiProxy 7.0.0-7.0.79 ແລະ FortiProxy 7.2.0 – 7.2.12 ໂດຍຄົນຮ້າຍສາມາດສົ່ງ Request ອັນຕະລາຍເຂົ້າໄປທີ່ Node.js Websocket ໄດ້ ເພື່ອໃຫ້ໄດ້ຮັບສິດ super-admin.
ຢ່າງໃດກໍດີ ຈາກການຕິດຕາມຮອງຮອຍການໂຈມຕີຈາກຂອງ Fortinet ເອງ ແລະ ຜູ້ຊ່ຽວຊານຈາກ Arctic Wolf ພົບເຫັນກິດຈະກຳປະມານວ່າ ຄົນຮ້າຍທີ່ໃຊ້ຊ່ອງໂຫວ່ດັ່ງກ່າວ ຈະມີການສຸ່ມສ້າງບັນຊີ Admin ຫລື Local User ແລະ ເພີ່ມຕົວຕົນເຫຼົ່ານັ້ນເຂົ້າໄປກຸ່ມຜູ້ໃຊ້ SSL VPN ເດີມ ຫລື ກຸ່ມໃໝ່ ລວມໄປເຖິງການປ່ຽນແປງຄ່າ Policy Firewall ກັບການຕັ້ງຄ່າອື່ນໆ ເຖິງປະຈຸບັນ ກໍຍັງບໍ່ສາມາດສະຫລຸບເຖິງຈຸດເລີ່ມຕົ້ນໄດ້ ແຕ່ຈາກການຕິດຕາມຂອງ Arctic Wolf ຈຳແນກຊ່ວງເວລາເຫດການໂຈມຕີອອກເປັນ 4 ໄລຍະຄື:
- ສະແກນຫາຊ່ອງໂຫວ່ລະຫວ່າງ 16-23 ພະຈິກ 2024
- Reconnaissance ລະຫວ່າງ 22-27 ພະຈິກ 2024
- ຕັ້ງຄ່າ SSL VPN ໃນຊ່ວງປະມານ 4-7 ທັນວາ. 2024
- Lateral Movement ຊ່ວງ 16–27 ທັນວາ 2024
ປະຈຸບັນ Fortinet ແນະນຳໃຫ້ຜູ້ໃຊ້ປິດໜ້າການເຂົ້າເຖິງຜ່ານ HTTP/HTTPS ສຳລັບການບໍລິຫານຈັດການໄວ້ກ່ອນ ຫລື ຈຳກັດເລກໝາຍໄອພີ ທີ່ເຂົ້າເຖິງໜ້ານີ້ໄດ້ຜ່ານ Local Policy
ທີ່ມາ : https://www.bleepingcomputer.com/news/security/fortinet-warns-of-auth-bypass-zero-day-exploited-to-hijack-firewalls/
ລາຍການຮູບ
