CISA เตือนผู้ใช้ Fortinet: แคมเปญ FortiBleed พบอุปกรณ์ FortiGate 86,644 เครื่องที่อาจถูกเจาะ

การสำนักความมั่นคงไซเบอร์ของสหรัฐ (CISA) ประกาศเตือนลูกค้า Fortinet ที่ใช้ไฟร์วอลล์ FortiGate ให้ดำเนินการปกป้องระบบทันที หลังจากพบการโจมตีแบบต่อเนื่องที่เรียกว่า FortiBleed ซึ่งมุ่งเป้าไปยังอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตได้หลายพันเครื่อง การโจมตีนี้ทำให้มีอุปกรณ์ 86,644 เครื่องถูกบ่งชี้ว่าถูกเจาะได้แล้ว ทำให้ผู้ดูแลระบบต้องเร่งตรวจสอบและอัปเดตมาตรการรักษาความปลอดภัย

Overview

CISA รายงานว่าแคมเปญ FortiBleed มีลักษณะการทำงานแบบสแกนและโจมตีอัตโนมัติผ่านพอร์ตที่เปิดเผยต่อสาธารณะของอุปกรณ์ FortiGate ซึ่งเป็นส่วนหนึ่งของโครงสร้างพื้นฐานเครือข่ายระดับองค์กรหลายแห่ง ผู้โจมตีใช้เทคนิคการสอดแนมเพื่อค้นหาอุปกรณ์ที่ยังไม่ได้รับการอัปเดตซอฟต์แวร์หรือยังใช้ค่าเริ่มต้นที่อ่อนแอ การสแกนเหล่านี้ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยตรงและอาจทำการสอดแนมหรือขโมยข้อมูลต่อไปได้

นอกจากนี้ รายงานยังระบุว่ากลุ่มผู้กระทำความผิดเป็นผู้ใช้ภาษารัสเซีย ซึ่งสอดคล้องกับลักษณะการโจมตีที่เคยพบในแคมเปญอื่นๆ ที่มีเป้าหมายคือการสร้างความเสียหายต่อโครงสร้างพื้นฐานสำคัญขององค์กรในหลายประเทศ CISA ได้ให้ความสำคัญกับเหตุการณ์นี้เป็นพิเศษ เนื่องจากอุปกรณ์ FortiGate มีการใช้งานอย่างกว้างขวางในภาคธุรกิจ การถูกโจมตีอาจทำให้เกิดการหยุดชะงักของบริการและความเสี่ยงต่อข้อมูลสำคัญขององค์กร

Threat Landscape

การโจมตี FortiBleed ใช้วิธีการที่คล้ายคลึงกับการโจมตีแบบ “exploitation‑for‑privilege‑escalation” ที่เคยปรากฏในกรณีของช่องโหว่ CVE‑2023‑XXXXX ของ FortiOS แต่ในกรณีนี้ ผู้โจมตีไม่ได้พึ่งพาเพียงช่องโหว่เดียว แต่ผสานรวมหลายจุดอ่อน เช่น การตั้งค่าไฟร์วอลล์ที่เปิดพอร์ต SSH หรือ HTTPS ไปยังอินเทอร์เน็ตโดยไม่มีการควบคุมการเข้าถึงอย่างเข้มงวด

การใช้เครื่องมือสแกนแบบอัตโนมัติทำให้ผู้โจมตีสามารถค้นหาอุปกรณ์ที่มีความเสี่ยงได้ในเวลาอันสั้น โดยอาศัยรายการ IP ที่เผยแพร่สาธารณะและการสังเกตพฤติกรรมของอุปกรณ์ที่ตอบสนองต่อการสแกน ความสามารถในการทำงานแบบกระจายศูนย์ (distributed) ทำให้แคมเปญนี้มีความยืดหยุ่นและสามารถเปลี่ยนเส้นทางการโจมตีไปยังเป้าหมายใหม่ได้อย่างรวดเร็ว

แม้ว่า Fortinet จะได้ออกอัปเดตแพตช์หลายครั้งในช่วงเดือนที่ผ่านมา แต่บางองค์กรยังคงใช้เวอร์ชันเก่าที่ไม่ได้รับการสนับสนุน การที่อุปกรณ์ยังคงเปิดพอร์ตสาธารณะโดยไม่มีการตรวจสอบอย่างต่อเนื่องทำให้แคมเปญ FortiBleed สามารถขยายผลได้อย่างกว้างขวาง

Scope & Impact

ตามข้อมูลของ CISA มีอุปกรณ์ FortiGate จำนวน 86,644 เครื่องที่ตรวจพบว่าอาจถูกเข้าถึงโดยผู้ไม่ประสงค์ดี ซึ่งส่วนใหญ่เป็นอุปกรณ์ที่ตั้งค่าให้สามารถเข้าถึงจากอินเทอร์เน็ตโดยตรง การเจาะระบบเหล่านี้อาจนำไปสู่การขโมยข้อมูลภายในองค์กร การติดตั้งมัลแวร์ หรือการใช้เครื่องเป็นส่วนหนึ่งของเครือข่ายบอท (botnet) เพื่อทำการโจมตีต่อเนื่อง

ผลกระทบที่อาจเกิดขึ้นต่อองค์กรรวมถึงการสูญเสียความเชื่อมั่นจากลูกค้า การเสียค่าใช้จ่ายในการกู้คืนระบบ และความเสี่ยงต่อการถูกปรับตามกฎหมายความปลอดภัยข้อมูลส่วนบุคคล (PDPA) หากข้อมูลส่วนบุคคลของผู้ใช้ถูกละเมิด นอกจากนี้ การที่อุปกรณ์ที่ทำหน้าที่เป็นเกตเวย์ของเครือข่ายถูกควบคุมโดยผู้โจมตีอาจทำให้การสื่อสารภายในองค์กรทั้งหมดถูกดักฟังหรือดัดแปลง

CISA ย้ำว่าผู้ดูแลระบบควรทำการตรวจสอบอย่างละเอียดเพื่อระบุอุปกรณ์ที่อาจเป็นเป้าหมายและประเมินความเสียหายที่อาจเกิดขึ้นโดยเร็วที่สุด เพื่อป้องกันการขยายตัวของเหตุการณ์และลดผลกระทบต่อการดำเนินธุรกิจ

Mitigation Recommendations

CISA ให้คำแนะนำแก่ลูกค้า Fortinet อย่างเป็นระบบ โดยสรุปขั้นตอนสำคัญดังต่อไปนี้

• อัปเดตซอฟต์แวร์ ไปยังเวอร์ชันล่าสุดของ FortiOS ที่รวมแพตช์แก้ช่องโหว่ทั้งหมด
• ปิดพอร์ตสาธารณะ ที่ไม่จำเป็น เช่น SSH, HTTPS หรือการเข้าถึงผ่าน VPN หากไม่มีการใช้จริง
• ตรวจสอบและเปลี่ยนรหัสผ่าน เริ่มต้นที่มาจากค่าเริ่มต้นของอุปกรณ์ รวมถึงเปิดใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA) หากสนับสนุน
• กำหนดนโยบายการเข้าถึง อย่างเข้มงวด โดยใช้ ACLs หรือ firewall rules เพื่อจำกัดแหล่งที่มาของการเชื่อมต่อจากภายนอก
• **เปิดใช้ระบบตรวจจับการบุกรุก (IDS/IPS) และตรวจสอบบันทึก (logs) อย่างสม่ำเสมอเพื่อระบุพฤติกรรมที่ผิดปกติ

การดำเนินการตามขั้นตอนเหล่านี้ถือเป็นวิธีการพื้นฐานในการลดความเสี่ยงจากการโจมตี FortiBleed อย่างไรก็ตาม CISA แนะนำให้ผู้ใช้ยังคงตรวจสอบคำแนะนำเพิ่มเติมจาก Fortinet และหน่วยงานความมั่นคงไซเบอร์ของประเทศเพื่อรับข้อมูลอัปเดตอย่างต่อเนื่อง

Industry Response

หลายองค์กรในภาคธุรกิจและภาครัฐได้เริ่มตอบสนองต่อการเตือนของ CISA โดยมีการจัดตั้งทีมตรวจสอบภายในเพื่อสแกนอุปกรณ์ FortiGate ทั้งหมดที่ใช้งานอยู่ บางบริษัทได้ทำการ Patch Management อย่างเป็นระบบและเพิ่มการตรวจสอบความปลอดภัยของอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตโดยตรง

Fortinet เองได้ออกแถลงการณ์ยืนยันว่ามีการเผยแพร่แพตช์สำคัญสำหรับช่องโหว่ที่อาจถูกใช้ในแคมเปญ FortiBleed และแนะนำให้ลูกค้าอัปเดตทันที บริษัทยังให้บริการ Threat Intelligence Feed ที่ช่วยให้ผู้ใช้สามารถตรวจจับกิจกรรมที่สงสัยได้จากการเชื่อมต่อของอุปกรณ์

ในระดับสากล สถาบันความปลอดภัยไซเบอร์เช่น ENISA และ CERT‑Asia‑Pacific ได้เผยแพร่ข้อมูลเตือนเพิ่มเติมเกี่ยวกับการโจมตีที่ใช้เทคนิคคล้ายคลึงกัน ซึ่งบ่งชี้ว่าผู้กระทำความผิดอาจใช้ FortiBleed เป็นจุดเริ่มต้นเพื่อขยายผลการโจมตีไปยังโครงสร้างพื้นฐานอื่น ๆ

Analysis

การที่แคมเปญ FortiBleed สามารถเข้าถึงอุปกรณ์ได้มากกว่า 80,000 เครื่องแสดงถึงช่องโหว่ด้านการจัดการและการตั้งค่าอุปกรณ์ที่ยังคงเป็นปัญหาในหลายองค์กร การปล่อยพอร์ตสาธารณะโดยไม่มีการตรวจสอบทำให้ผู้โจมตีสามารถใช้เครื่องมือสแกนอัตโนมัติเข้าถึงอุปกรณ์ได้อย่างง่ายดาย

แม้ Fortinet จะมีระบบอัปเดตอัตโนมัติและฟีเจอร์ความปลอดภัยขั้นสูง แต่การพึ่งพาแค่เทคโนโลยีโดยไม่มีกระบวนการจัดการความเสี่ยงภายในองค์กรทำให้เกิดช่องว่างที่ผู้โจมตีใช้ประโยชน์ได้ การฝึกอบรมทีมไอทีให้เข้าใจความสำคัญของการอัปเดตและการกำหนดค่าอย่างปลอดภัยจึงเป็นสิ่งจำเป็น

อีกมุมหนึ่งคือการที่กลุ่มผู้กระทำความผิดใช้ภาษารัสเซียเป็นหลักอาจบ่งบอกถึงแรงจูงใจเชิงภูมิรัฐศาสตร์หรือการทำงานร่วมกับกลุ่มอาชญากรรมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ การติดตามและวิเคราะห์กิจกรรมของกลุ่มเหล่านี้จะช่วยให้หน่วยงานความปลอดภัยสามารถคาดการณ์แนวโน้มการโจมตีในอนาคตได้ดียิ่งขึ้น

โดยสรุป การตอบสนองต่อ FortiBleed จำเป็นต้องอาศัยการทำงานร่วมกันระหว่างผู้ผลิตอุปกรณ์ ผู้ใช้สุดท้าย และหน่วยงานกำกับดูแล เพื่อให้เกิดระบบการป้องกันที่ครอบคลุมและลดความเสี่ยงต่อการโจมตีแบบต่อเนื่องในระดับโลก

Summary

CISA เตือนว่าแคมเปญ FortiBleed ทำให้ 86,644 เครื่อง FortiGate ถูกคุกคามและแนะนำให้ดำเนินการอัปเดตและปรับปรุงการตั้งค่าความปลอดภัยอย่างเร่งด่วน การตอบสนองที่รวดเร็วและการทำงานร่วมกันของทุกภาคส่วนเป็นกุญแจสำคัญในการปกป้องโครงสร้างพื้นฐานไซเบอร์ของประเทศและองค์กร.