ที่มาภาพ: Ars Technica
การรั่วไหลข้อมูลประจำตัวจากไฟร์วอลล์ Fortinet ทำให้แฮกเกอร์เข้าถึงเครือข่ายสำคัญทั่วโลก
⚡ สรุป 30 วิ
การรั่วไหลของไฟร์วอลล์ Fortinet ทำให้ข้อมูลประจำตัว plaintext ของ 74,000 อุปกรณ์ใน 194 ประเทศถูกเปิดเผย แฮกเกอร์ใช้ข้อมูลเพื่อเข้าถึงระบบสำคัญเช่น Radius…
การค้นพบการรั่วไหลขนาดใหญ่ของไฟร์วอลล์ Fortinet ทำให้แฮกเกอร์ที่ใช้ภาษารัสเซียสามารถเข้าถึงเครือข่ายขององค์กรระดับโลกได้อย่างใกล้เคียงกับการไม่มีข้อจำกัด จำนวนอุปกรณ์ที่ได้รับผลกระทบประมาณ 74,000 เครื่อง จาก 21,000 IP แหล่งใน 194 ประเทศ ส่งผลให้ข้อมูลประจำตัวที่เป็น plaintext ถูกเผยแพร่สู่สาธารณะ ความรุนแรงของเหตุการณ์นี้บ่งชี้ถึงช่องโหว่ด้านการจัดการความปลอดภัยของอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตทั่วโลก
Overview
การรั่วไหลนี้ถูกเปิดเผยโดย Bob Diachenko นักวิจัยด้านความปลอดภัยและหัวหน้า SecurityDiscovery.com หลังจากที่เขาได้เข้าถึงเซิร์ฟเวอร์ command‑and‑control ของผู้โจมตีและโครงสร้างพื้นฐานอื่น ๆ ของกลุ่มแฮกเกอร์ ข้อมูลที่ถูกเปิดเผยรวมถึงชื่อองค์กร รายได้ จำนวนพนักงาน และข้อมูลประจำตัวที่ใช้ในการเข้าสู่ระบบของอุปกรณ์ Fortinet ทั้งหลาย
ตามที่ Diachenko รายงาน อุปกรณ์ที่ถูกเจาะส่วนใหญ่เป็นไฟร์วอลล์ที่เปิดเผยต่ออินเทอร์เน็ต ซึ่งทำให้ผู้โจมตีสามารถสแกนและดึงข้อมูลได้อย่างอิสระ การเข้าถึงนี้ไม่ได้จำกัดเพียงการขโมยข้อมูลเท่านั้น แต่ยังเปิดช่องให้แฮกเกอร์สามารถยกระดับการโจมตีไปสู่ระบบย่อยอื่น ๆ ขององค์กรได้ต่อเนื่อง
Affected Entities
รายชื่อองค์กรที่ถูกระบุว่าอยู่ในรายการเป้าหมายของการรั่วไหล ได้แก่:
- Oracle
- Chevron
- Lenovo
- Federal Express
- ผู้รับเหมาอาวุธของ NATO
- บริษัท Fortinet เอง
องค์กรเหล่านี้ส่วนใหญ่เป็นผู้ให้บริการเทคโนโลยีระดับโลกหรือมีโครงสร้างพื้นฐานสำคัญ การที่ข้อมูลประจำตัวของไฟร์วอลล์ของพวกเขาถูกเปิดเผยทำให้เสี่ยงต่อการเข้าถึงระบบสำคัญอื่น ๆ ภายในเครือข่าย
Attack Mechanics
ผู้โจมตีใช้ข้อมูลประจำตัวที่ได้จากไฟร์วอลล์เพื่อเชื่อมต่อกับระบบการยืนยันตัวตนกลางขององค์กรหลายแห่ง ได้แก่ Radius servers และ Microsoft Active Directory การเข้าถึงเหล่านี้ทำให้แฮกเกอร์สามารถขยายอิทธิพลไปยังระบบอื่น ๆ ที่อาจมีข้อมูลที่ละเอียดอ่อนหรือเป็นหัวใจของการดำเนินธุรกิจ
การเจาะระบบดังกล่าวแสดงให้เห็นถึงการวางแผนระยะยาวของกลุ่มแฮกเกอร์ที่มุ่งเน้นการเก็บข้อมูลประจำตัวที่เป็น plaintext เพื่อนำไปใช้ต่อยอดการโจมตีในอนาคต การที่ข้อมูลเหล่านี้ถูกเก็บไว้ในรูปแบบที่ไม่เข้ารหัสทำให้การป้องกันด้วยวิธีการทั่วไปเช่นการใช้ VPN หรือการตรวจสอบการเข้าถึงแบบหลายปัจจัย (MFA) มีความท้าทายมากยิ่งขึ้น
Verification & Ongoing Presence
นักวิจัยอิสระ Kevin Beaumont รายงานว่า “เกือบทั้งหมด” ของอุปกรณ์ที่ถูกเจาะยังคงออนไลน์อยู่ ณ เช้าวันพุธที่ผ่านมา Beaumont ยังได้ทำการยืนยันกับหลายองค์กรที่ปรากฏในบันทึกของผู้โจมตีว่าข้อมูลประจำตัวที่ถูกเปิดเผยนั้นเป็นข้อมูลจริงและยังคงใช้ได้ในปัจจุบัน การยืนยันนี้ทำให้ระดับความเสี่ยงของการโจมตีต่อเนื่องสูงขึ้นอย่างชัดเจน
จากการสำรวจของ Shodan จำนวนอุปกรณ์ Fortinet ที่เปิดเผยต่ออินเทอร์เน็ตประมาณครึ่งหนึ่งของทั้งหมด ซึ่งหมายความว่าผู้โจมตีมีโอกาสเข้าถึงอุปกรณ์จำนวนมหาศาลโดยใช้เทคนิคเดียวกันกับที่พบในเหตุการณ์นี้
Implications for Security
เหตุการณ์นี้สะท้อนให้เห็นถึงปัญหา opsec (operational security) ที่ไม่เพียงแค่ด้านเทคนิคของอุปกรณ์แต่รวมถึงกระบวนการจัดการข้อมูลประจำตัวขององค์กรหลายระดับ หากองค์กรไม่เปลี่ยนแปลงแนวทางการจัดเก็บและการหมุนเวียนรหัสผ่านอย่างสม่ำเสมอ การรั่วไหลแบบนี้อาจทำให้เกิดการละเมิดข้อมูลที่มีผลกระทบต่อการดำเนินธุรกิจและชื่อเสียงของบริษัท
การที่แฮกเกอร์สามารถเข้าถึง Radius และ Active Directory ยังเปิดโอกาสให้พวกเขาอาจสร้างบัญชีผู้ใช้ปลอมหรือเพิ่มสิทธิ์ของบัญชีที่มีอยู่เดิม ซึ่งอาจนำไปสู่การขโมยข้อมูลทางการเงิน การรบกวนการดำเนินงาน หรือแม้กระทั่งการทำลายโครงสร้างพื้นฐานที่สำคัญขององค์กรระดับชาติ
Response & Recommendations
แม้ว่าบริษัท Fortinet ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการเกี่ยวกับเหตุการณ์นี้ แต่ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ดูแลระบบทำตามขั้นตอนต่อไปนี้โดยเร่งด่วน
- ตรวจสอบและเปลี่ยนรหัสผ่านของไฟร์วอลล์ทั้งหมดที่เปิดเผยต่ออินเทอร์เน็ตเป็นรหัสที่ซับซ้อนและมีการหมุนเวียนเป็นประจำ
- ปิดการเข้าถึงไฟร์วอลล์จากที่อยู่นอกเครือข่ายภายในโดยใช้ VPN หรือการควบคุมการเข้าถึงระดับ IP
- เปิดใช้การตรวจสอบแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงระบบยืนยันตัวตนกลางเช่น Radius และ Active Directory
- ใช้เครื่องมือสแกนของ Shodan หรือบริการคล้ายกันเพื่อตรวจสอบอุปกรณ์ที่ยังคงเปิดเผยต่อสาธารณะ
การดำเนินการตามข้อแนะนำเหล่านี้จะช่วยลดโอกาสที่ผู้โจมตีจะใช้ประโยชน์จากข้อมูลประจำตัวที่รั่วไหลและเสริมสร้างความยืดหยุ่นของระบบความปลอดภัยในระดับองค์กร
Summary
การรั่วไหลของไฟร์วอลล์ Fortinet จำนวน 74,000 เครื่อง จาก 21,000 IP ใน 194 ประเทศ เปิดเผยข้อมูลประจำตัวสำคัญขององค์กรระดับโลกหลายแห่ง ทำให้แฮกเกอร์สามารถเข้าถึงระบบยืนยันตัวตนกลางได้อย่างกว้างขวาง ความต่อเนื่องของอุปกรณ์ที่ยังคงออนไลน์เพิ่มความเสี่ยงต่อการโจมตีต่อเนื่อง จึงจำเป็นต้องเร่งปรับปรุงมาตรการความปลอดภัยและเปลี่ยนรหัสผ่านโดยทันที.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Massive breach spills credentials for thousands of sensitive networks
- ผู้เขียน
- Dan Goodin
- แหล่ง
- Ars Technica
- วันที่เผยแพร่
- 18 มิถุนายน 2569 เวลา 02:54
