Fortinet ได้ออกประกาศเตือนถึงการใช้ช่องโหว่ Zero-day อย่างต่อเนื่อง ซึ่งเกี่ยวข้องกับการโจมตีระบบเครือข่ายของรัฐบาลและหน่วยงานโทรคมนาคม ความรุนแรงของภัยคุกคามนี้อยู่ในระดับวิกฤต โดยมีผลกระทบต่อ FortiGate และ FortiProxy การโจมตีนี้ดำเนินการโดยกลุ่มที่คาดว่าจะเป็นรัฐบาลของจีนคือ UNC3886
บทสรุปการโจมตี
การโจมตีนี้ใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแก้ไขใน FortiGate และ FortiProxy เพื่อเข้าถึงระบบเป้าหมาย โดยใช้ใบรับรอง X.509 ปลอมเพื่อหลีกเลี่ยงการตรวจจับ และติดตั้งมัลแวร์ที่เรียกว่า “BOLDMOVE” ซึ่งเป็นแบ็คดอร์ที่ซับซ้อน มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกล ขโมยข้อมูล และหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพ
Severity:
CRITICAL (วิกฤต)
System Impact:
- FortiGate (อุปกรณ์ไฟร์วอลล์)
- FortiProxy (อุปกรณ์พร็อกซี)
Malware/Threat Actor:
- Malware: BOLDMOVE (Backdoor)
- Threat Actor: UNC3886 (กลุ่มแฮกเกอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลจีน)
ขั้นตอนการโจมตีทางเทคนิค (Step by Step):
- Initial Access: ผู้โจมตีใช้ช่องโหว่ Zero-day ใน FortiGate และ FortiProxy เพื่อเข้าถึงระบบเป้าหมาย
- Exploitation: ใช้ใบรับรอง X.509 ปลอมเพื่อสร้างความน่าเชื่อถือและหลีกเลี่ยงการตรวจจับ
- Backdoor Installation: ติดตั้งมัลแวร์ BOLDMOVE ซึ่งเป็นแบ็คดอร์ที่ช่วยให้ควบคุมระบบจากระยะไกล
- Persistence: BOLDMOVE สร้างกลไกคงอยู่ เพื่อให้ผู้โจมตียังคงเข้าถึงระบบได้แม้จะมีการรีบูต
- Data Exfiltration: ขโมยข้อมูลสำคัญออกจากระบบที่ถูกบุกรุก
คำแนะนำ:
Short Term (คำแนะนำเร่งด่วน):
- Patch Now!: อัปเดตแพตช์และเฟิร์มแวร์ของ FortiGate และ FortiProxy เป็นเวอร์ชันล่าสุดทันทีที่ Fortinet ออกมาเพื่อแก้ไขช่องโหว่
- Authentication: ตรวจสอบและเสริมความแข็งแกร่งของการตรวจสอบสิทธิ์สำหรับอุปกรณ์ Fortinet ทั้งหมด
Long Term (คำแนะนำระยะยาว):
- MFA & Segmentation: ใช้ Multi-Factor Authentication (MFA) สำหรับการเข้าถึงระบบที่สำคัญ และใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการแพร่กระจายของการโจมตี
- Monitoring: ตรวจสอบบันทึก (logs) ของระบบ Fortinet อย่างสม่ำเสมอ เพื่อหาพฤติกรรมที่ผิดปกติหรือบ่งชี้ถึงการบุกรุก
- Incident Response Plan: เตรียมแผนการรับมือกับเหตุการณ์ (Incident Response Plan) เพื่อจัดการกับการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ
- Regular Audits: ทำการตรวจสอบความปลอดภัยของระบบเป็นประจำ เพื่อระบุและแก้ไขช่องโหว่ก่อนที่จะถูกโจมตี
แหล่งที่มาของข่าว:
Share this content: