บริษัทรักษาความปลอดภัยทางไซเบอร์ Arctic Wolf เปิดเผยเมื่อวันศุกร์ว่าผู้ก่อภัยคุกคามได้กำหนดเป้าหมายไปที่อุปกรณ์ไฟร์วอลล์ Fortinet FortiGate ด้วยอินเทอร์เฟซการจัดการที่เปิดเผยบนอินเทอร์เน็ตสาธารณะในแคมเปญที่ต้องสงสัยแบบซีโรเดย์
จากข้อมูลของนักวิจัยของ Arctic Wolf Labs กิจกรรมที่เป็นอันตรายต่อไฟร์วอลล์ของ Fortinet เริ่มขึ้นในช่วงกลางเดือนพฤศจิกายน 2567 ผู้คุกคามที่ไม่รู้จักได้เปลี่ยนแปลงการกำหนดค่าไฟร์วอลล์โดยการเข้าถึงอินเทอร์เฟซการจัดการบนไฟร์วอลล์ที่ได้รับผลกระทบ และแยกข้อมูลประจำตัวโดยใช้ DCSync ในสภาพแวดล้อมที่ถูกบุกรุก
“แคมเปญนี้เกี่ยวข้องกับการเข้าสู่ระบบผู้ดูแลระบบโดยไม่ได้รับอนุญาตบนอินเทอร์เฟซการจัดการของไฟร์วอลล์ การสร้างบัญชีใหม่ การตรวจสอบ SSL VPN ผ่านบัญชีเหล่านั้น และการเปลี่ยนแปลงการกำหนดค่าอื่น ๆ อีกมากมาย” นักวิจัยด้านความปลอดภัยที่ Arctic Wolfเขียนในบล็อกโพสต์ที่เผยแพร่เมื่อสัปดาห์ที่แล้ว
แม้ว่าเวกเตอร์การเข้าถึงเริ่มแรกที่ใช้ในแคมเปญนี้ยังไม่ทราบแน่ชัด แต่ Arctic Wolf Labs มั่นใจอย่างยิ่งว่า "แคมเปญการหาผลประโยชน์จำนวนมาก" ของช่องโหว่แบบ Zero-day นั้นมีแนวโน้มที่จะเกิดขึ้น เมื่อพิจารณาจากไทม์ไลน์ที่จำกัดในองค์กรที่ได้รับผลกระทบ และช่วงของเวอร์ชันเฟิร์มแวร์ที่ได้รับผลกระทบ
เฟิร์มแวร์เวอร์ชันตั้งแต่ 7.0.14 และ 7.0.16 ได้รับผลกระทบส่วนใหญ่ ซึ่งเปิดตัวในเดือนกุมภาพันธ์ 2024 และตุลาคม 2024 ตามลำดับ
ปัจจุบัน Arctic Wolf Labs ได้ระบุขั้นตอนการโจมตีสี่ขั้นตอนของแคมเปญที่กำหนดเป้าหมายอุปกรณ์ FortiGate ที่มีช่องโหว่ระหว่างเดือนพฤศจิกายน 2567 ถึงธันวาคม 2567:
ระยะที่ 1:การสแกนช่องโหว่ (16 พฤศจิกายน 2567 ถึง 23 พฤศจิกายน 2567)
ระยะที่ 2:การลาดตระเวน (22 พฤศจิกายน 2567 ถึง 27 พฤศจิกายน 2567)
ระยะที่ 3:การกำหนดค่า SSL VPN (4 ธันวาคม 2024 ถึง 7 ธันวาคม 2024)
ระยะที่ 4:การเคลื่อนไหวด้านข้าง (16 ธันวาคม 2567 ถึง 27 ธันวาคม 2567)
ในระยะแรก ผู้แสดงภัยคุกคามได้ทำการสแกนช่องโหว่ และใช้เซสชัน jsconsole ที่มีการเชื่อมต่อไปยังและจากที่อยู่ IP ที่ผิดปกติ เช่น ที่อยู่ย้อนกลับ (เช่น 127.0.0.1) และตัวแก้ไข DNS ยอดนิยม รวมถึง Google Public DNS และ Cloudflare ทำให้เป็น เป้าหมายในอุดมคติสำหรับการตามล่าภัยคุกคาม
ในขั้นตอนการลาดตระเวน ผู้โจมตีได้ทำการเปลี่ยนแปลงการกำหนดค่าโดยไม่ได้รับอนุญาตครั้งแรกในองค์กรเหยื่อหลายแห่ง เพื่อตรวจสอบว่าพวกเขาสามารถเข้าถึงการเปลี่ยนแปลงไฟร์วอลล์ที่ถูกโจมตีได้สำเร็จหรือไม่
ในช่วงระยะที่สามของการรณรงค์ ผู้คุกคามได้ทำการเปลี่ยนแปลงที่สำคัญกับอุปกรณ์ที่ถูกบุกรุกเพื่อสร้างการเข้าถึง SSL VPN
ในการบุกรุกบางอย่าง พวกเขาได้สร้างบัญชีผู้ดูแลระบบขั้นสูงใหม่ ในขณะที่บัญชีอื่นๆ พวกเขาก็แย่งชิงบัญชีที่มีอยู่เพื่อเข้าถึง SSL VPN ผู้คุกคามยังสร้างพอร์ทัล SSL VPN ใหม่ซึ่งมีการเพิ่มบัญชีผู้ใช้โดยตรง
ในช่วงสุดท้าย หลังจากที่ประสบความสำเร็จในการเข้าถึง SSL VPN ภายในสภาพแวดล้อมขององค์กรเหยื่อ ผู้คุกคามใช้เทคนิค DCSync เพื่อดึงข้อมูลประจำตัวสำหรับการเคลื่อนไหวด้านข้าง
จากข้อมูลของบริษัทรักษาความปลอดภัยทางไซเบอร์ ผู้คุกคามได้ถูกลบออกจากระบบที่ได้รับผลกระทบก่อนที่จะดำเนินการต่อได้
Artic Wolf Labs แจ้งให้ Fortinet ทราบเกี่ยวกับกิจกรรมที่พบในแคมเปญนี้เมื่อวันที่ 12 ธันวาคม 2024 FortiGuard Labs PSIRT ยืนยันเมื่อวันที่ 17 ธันวาคม 2024 ว่าทราบถึงกิจกรรมที่ทราบแล้ว และกำลังตรวจสอบปัญหานี้อย่างแข็งขัน
เพื่อป้องกันปัญหาด้านความปลอดภัยที่ทราบ Artic Wolf Labs แนะนำให้องค์กรต่างๆ ปิดการเข้าถึงการจัดการไฟร์วอลล์ทันทีบนอินเทอร์เฟซสาธารณะ และจำกัดการเข้าถึงสำหรับผู้ใช้ที่เชื่อถือได้
นอกจากนี้ยังแนะนำให้อัปเกรดเฟิร์มแวร์บนอุปกรณ์ไฟร์วอลล์เป็นเวอร์ชันล่าสุดเป็นประจำเพื่อป้องกันช่องโหว่ที่ทราบ
