អ្នកវាយប្រហារកំពុងតែកេងចំណេញលើភាពងាយរងគ្រោះ Zero-Day ដើម្បីឆ្លងកាត់ការផ្ទៀងផ្ទាត់ថ្មីនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ FortiOS និង FortiProxy ដើម្បីលួច Fortinet Firewalls និងបំពានលើបណ្តាញណិតវើកសហគ្រាស។
បញ្ហាសន្តិសុខនេះ (Tracked CVE-2024-55591) ប៉ះពាល់ដល់ប្រព័ន្ធប្រតិបត្តិការ FortiOS 7.0.0 ទៅដល់ 7.0.16, FortiProxy 7.0.0 ទៅដល់ 7.0.19 និង FortiProxy 7.2.0 ទៅដល់ 7.2.12។ ការបំពានដែលជោគជ័យបានអនុញ្ញាតឱ្យហេគឃ័រអាចបញ្ជាការវាយប្រហារបានពីចម្ងាយទៅបង្កើនសិទ្ធិគ្រប់គ្រង (Super-Admin) ដោយការស្នើសុំមិនល្អទៅកាន់ Node.js websocket Module។ ក្រុមហ៊ុន Fortinet ថ្លែងថា ហេគឃ័រដែលកំពុងតែកេងចំណេញលើបញ្ហា Zero-Day កំពុងតែបង្កើតអ្នកគ្រប់គ្រង ឬអ្នកប្រើក្នុងតំបន់ដោយចៃដន្យ (Randomly) នៅលើឧបករណ៍ដែលត្រូវបានគ្រប់គ្រងដោយហេគឃ័រ និងកំពុងតែបន្ថែមពួកវាទៅក្នុងក្រុមអ្នកប្រើ SSL VPN ដែលមានស្រាប់ ឬទៅកាន់អ្នកប្រើប្រាស់ថ្មី។
ពួកគេក៏ត្រូវបានសង្កេតឃើញថា កំពុងតែបន្ថែម ឬផ្លាស់ប្តូរគោលការណ៍ Firewall និងការកំណត់ផ្សេងទៀត (Setting) និងការចូល (log in) ទៅប្រើប្រាស់ក្នុង SSLVPN ដោយប្រើគណនីបញ្ឆោតដែលខ្លួនបានបង្កើតពីមុន ដើម្បីទទួលបានផ្លូវចូល (Tunnel) ទៅបណ្តាញណិតវើកខាងក្នុង។ ខណៈក្រុមហ៊ុនមិនបានផ្តល់ព័ត៌មានបន្ថែមទាក់ទងនឹងយុទ្ធនាការនោះ ក្រុមហ៊ុនសន្តិសុខ Arctic Wolf បានចេញរបាយការណ៍កាលពីថ្ងៃសុក្រជាមួយនឹងការភ្ជាប់សូចនាករនៃការវាយប្រហារផ្សេងៗ (IOCs) ដែលនិយាយថា Fortinet FortiGate Firewalls ជាមួយផ្ទៃគ្រប់គ្រងខាងក្នុងសម្រាប់បង្ហាញអ៊ីនធឺណិត (Internet-exposed management interfaces) ត្រូវបានវាយប្រហារ តាំងពីពាក់កណ្តាលខែវិច្ឆិកា។ បន្ទប់ពិសោធន៍ Arctic Wolf បានថ្លែងថា យុទ្ធនាការពាក់ព័ន្ធនឹងការចូលប្រើប្រាស់គណនីរដ្ឋបាលដោយគ្មានការអនុញ្ញាតនៅលើផ្ទៃគ្រប់គ្រងរបស់ Firewalls ដោយបង្កើតគណនីថ្មី មានការផ្ទៀងផ្ទាត់ SSLVPN តាមរយៈគណនីទាំងនោះ និងការផ្លាស់ប្តូរ Configuration ដទៃទៀត។ ខណៈ វ៉ិចទ័រដំណើរការចាប់ផ្តើមមិនត្រូវបានបញ្ជាក់ ភាពងាយរងគ្រោះ Zero-Day អាចជាបញ្ហា។ ស្ថាប័នផ្សេងគួរតែបិទដំណើរការគ្រប់គ្រង Firewall ជាបន្ទាន់នៅលើផ្ទៃសាធារណៈ (public interfaces)។
ក្រុមហ៊ុន Fortinet ក៏បានណែនាំទៅអ្នកគ្រប់គ្រង (Admins) នៅថ្ងៃនេះឱ្យបិទផ្ទៃគ្រប់គ្រង HTTP/HTTPS Administrative Interface ឬកម្រិតអាសយដ្ឋាន IP ដែលអាចចូលទៅកាន់ Administrative Interface តាមរយៈគោលការណ៍ក្នុងតំបន់។ បន្ទប់ពិសោធន៍ Arctic Wolf បានផ្តល់នូវកាលបរិច្ឆេទនៃយុទ្ធនាការកេងចំណេញដ៏ធំលើបញ្ហា CVE-2024-55591 ដែលលើកឡើងថា វាមាន៤ដំណាក់កាល៖
១. ស្គេនភាពងាយរងគ្រោះ (ថ្ងៃទី១៦ ខែវិច្ឆិកា ឆ្នាំ២០២៤ ទៅដល់ថ្ងៃទី២៣ ខែវិច្ឆិកា ឆ្នាំ២០២៤)
២. លួចយកការណ៍ (ថ្ងៃទី២២ ខែវិច្ឆិកា ឆ្នាំ២០២៤ ដល់ថ្ងៃទី២៧ ខែវិច្ឆិកា ឆ្នាំ២០២៤)
៣. SSL VPN Configuration (ថ្ងៃទី០៤ ខែធ្នូ ឆ្នាំ២០២៤ ដល់ថ្ងៃទី០៧ ខែធ្នូ ឆ្នាំ២០២៤)
៤. យុទ្ធនាការរុករក (Lateral Movement) (ថ្ងៃទី១៦ ខែធ្នូ ឆ្នាំ២០២៤ ដល់ថ្ងៃទី២៧ ខែធ្នូ ឆ្នាំ២០២៤)
ខណៈ វ៉ិចទ័រដំណើរការចាប់ផ្តើមប្រើនៅក្នុងយុទ្ធនាការនេះនៅមិនទាន់បានបញ្ជាក់នោះ បន្ទប់ពិសោធន៍ Arctic Wolf ដំណើរការជាមួយនឹងទំនុកចិត្តខ្ពស់ថា ការបំពានដ៏ធំរបស់ភាពងាយរងគ្រោះ Zero-Day នោះទំនងជាត្រូវបានផ្តល់ដោយកាលបរិច្ឆេទពីស្ថាប័នដែលរងផលប៉ះពាល់ ក៏ដូចជាជំនាន់កម្មវិធី Firmware រងផលប៉ះពាល់ផងដែរ បើយោងតាមក្រុមហ៊ុនសន្តិសុខសាយប័រ។ ភាពខុសគ្នានៃការវាយប្រហារនៅក្នុងអាជីវកម្ម (Tradecraft) និងហេដ្ឋារចនាសម្ព័ន្ធ វាអាចកើតឡើងដែរថាបុគ្គល និងក្រុមប្រហែលជាបានចូលរួមក្នុងយុទ្ធនាការនេះ ប៉ុន្តែការប្រើប្រាស់ jsconsole គឺជា Thread (ខ្សែ) ទូទៅនៅលើ Board។ ក្រុមហ៊ុន Fortinet និង Arctic Wolf បានចែករំលែក IOCs ស្ទើរតែដូចគ្នា ដែលបង្ហាញថាអ្នកអាចកំណត់ Logs សម្រាប់មើលព័ត៌មាន (Entries) ខាងក្រោម ដើម្បីកំណត់ថាឧបករណ៍ត្រូវបានក្លាយជាគោលដៅ ឬអត់។ បន្ទាប់ពីការ Log In តាមរយៈភាពងាយរងគ្រោះ The logs នឹងបង្ហាញប្រភព IP និង IP គោលដៅដោយចៃដន្យមួយ (Random)។
បន្ទាប់ពីហេគឃ័របង្កើតអ្នកប្រើជា Admin រួចហើយ Log នឹងត្រូវបានបង្កើតជាមួយនឹងអ្វីដែលបង្ហាញជា ឈ្មោះអ្នកប្រើដែលត្រូវបានបង្កើតដោយចៃដន្យ និងប្រភពអាសយដ្ឋាន IP។ក្រុមហ៊ុនសុវត្ថិភាពក៏បានព្រមានថា ហេគឃ័រជាទូទៅប្រើអាសយដ្ឋាន IP ខាងក្រោមនៅក្នុងការវាយប្រហារ
បន្ទប់ពិសោធន៍ Arctic Wolf ថ្លែងថា វាបានជូនដំណឹងទៅក្រុមហ៊ុន Fortinet អំពីការវាយប្រហារកាលពីថ្ងៃទី១២ ខែធ្នូ ឆ្នាំ២០២៤ និងបានទទួលការបញ្ជាក់ពី FortiGuard Labs PSIRT កាលពីថ្ងៃទី១៧ ខែធ្នូ ឆ្នាំ២០២៤ ថាសកម្មភាពនេះត្រូវបានគេដឹង និងស្ថិតក្រោមការស៊ើបអង្កេតរួចហើយ។ នៅថ្ងៃនេះ ក្រុមហ៊ុន Fortinet ក៏បានបញ្ចេញ Patches សុវត្ថិភាពសម្រាប់ភាពងាយរងគ្រោះ Hard-coded Cryptographic key ដ៏សំខាន់ (CVE-2023-37936)។ ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យមានការបញ្ជាពីចម្ងាយ អ្នកវាយប្រហារមិនចាំបាច់ផ្ទៀងផ្ទាត់ជាមួយឃី (key) ដើម្បីដំណើរការកូដដែលគ្មានការអនុញ្ញាតតាមរយៈសំណើ Crafted Cryptographic។ កាលពីខែធ្នូ Volexity បានរាយការណ៍ថា ហេគឃ័រចិនបានប្រើឧបករណ៍ Custom post-exploitation toolkit ឈ្មោះ ‘DeepData’ សម្រាប់បំពានភាពងាយរងគ្រោះ Zero-Day (ជាមួយ no CEV ID) នៅក្នុង FortiClient Windows VPN Client របស់ក្រុមហ៊ុន Fortinet សម្រាប់លួចអត្តសញ្ញាណ។ កាលពីពីរខែមុន Mandiant បានបង្ហាញថា បញ្ហា Fortinet FortiManager ឈ្មោះ “FortiJump” (tracked as CVE-2024-47575) ត្រូវបានបំពានដែលជាបញ្ហា Zero-Day សម្រាប់លាតត្រដាងម៉ាស៊ីនមេមិនតិចជាង ៥០គ្រឿងទេតាំងពីខែមិថុនា។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៤ ខ មករា ឆ្នាំ២០២៥
