เหตุการณ์ CrowdStrike ไม่ได้สร้างความกังวลเฉพาะผู้ใช้ CrowdStike เท่านั้น แต่ EDR ยี่ห้ออื่นๆ ที่เป็นซอฟต์แวร์แบบเดียวกันก็มีความเสี่ยงเหมือนกัน ล่าสุดทาง Fortinet ผู้ผลิต FortiEDR ก็ออกมาเปิดเผยแนวทางป้องกันการทำเครื่องลูกค้าล่มด้วย
การทดสอบตัวซอฟต์แวร์ FortiEDR นั้นแบ่งเป็นสามระดับ ได้แก่ Major, Minor, และ Patch โดย Major และ Minor นั้นทดสอบในระบบทดสอบนานหลายเดือนก่อนปล่อยออกมา ขณะที่ Patch นั้นทดสอบหลายสัปดาห์ และเมื่อทดสอบเสร็จแล้วก็จะปล่อยในวงจำกัด (limited availability - LA) ก่อนจะขยายไปวงกว้าง
หลังเกิดเหตุแฮกเกอร์แจกฐานข้อมูลรหัสผ่าน Fortinet VPN ทางบริษัทก็ออกมาชี้แจงพร้อมแนะนำขั้นตอนการแก้ปัญหาให้กับลูกค้า โดยทาง Fortinet ยืนยันว่าช่องโหว่นี้แก้ไขไปแล้วตั้งแต่เดือนพฤษภาคม 2019 และยังแจ้งเตือนลูกค้าอีกหลายช่องทางทั้งการติดต่อโดยตรง และการประกาศผ่านช่องทางต่างๆ เช่นเว็บบล็อกบริษัทก็ประกาศถึงช่องโหว่นี้ 4 ครัง ครั้งล่าสุดเมื่อกลางปีที่ผ่านมา
ประกาศครั้งนี้ทาง Fortinet แนะนำขั้นตอนแก้ปัญหา 5 ขั้น ดังนี้
เมื่อปีที่แล้วมีรายงานถึงกลุ่มแฮกเกอร์ที่ไล่แฮกช่องโหว่ CVE-2018-13379 ของ Fortinet VPN ที่แพตช์ไปตั้งแต่ปี 2019 แต่องค์กรจำนวนมากไม่ได้ติดตั้งแพตช์ ตอนนี้กลุ่มแฮกเกอร์เบื้องหลังมัลแวร์ Groove ก็ออกมาโพสรายชื่อบัญชีผู้ใช้ 498,908 รายของเซิร์ฟเวอร์ที่เคยถูกแฮกมา
เซิร์ฟเวอร์ VPN เหล่านี้ถูกแฮกก่อนที่จะแพตช์เพื่อขโมยเอาชื่อผู้ใช้และรหัสผ่าน แม้ว่าตอนนี้เซิร์ฟเวอร์อาจจะแพตช์ไปแล้วแต่รหัสผ่านก็อาจจะใช้งานได้ โดยรวมแล้วข้อมูลที่ปล่อยมีจำนวน 498,908 บัญชี จากเซิร์ฟเวอร์ 12,856 ไอพี
ThaiCERT และ US-CERT ออกประกาศแจ้งเตือนองค์กรที่ใช้ Fortinet VPN จำนวนมากถูกแฮกเกอร์เจาะระบบด้วยช่องโหว่ CVE-2018-13379 ที่บริษัทแพตช์ไปตั้งแต่กลางปี 2019 แต่หลายองค์กรยังไม่ได้ติดตั้งแพตช์ และตัวช่องโหว่ทำให้แฮกเกอร์อ่านชื่อผู้ใช้และรหัสผ่านได้ ทำให้แม้จะแพตช์ไปหลังจากถูกแฮก ตัวแฮกเกอร์ก็สามารถล็อกอินกลับเข้าเครือข่ายได้
ทาง ThaiCERT ระบุว่ากำลังประสานงานไปยังหน่วยงานในไทยที่ได้รับผลกระทบเพื่อให้อัพเดตเฟิร์มแวร์และเปลี่ยนรหัสผ่าน
ไฟล์ที่แฮกเกอร์นำออกมาแจกเป็นข้อมูลเซิร์ฟเวอร์ VPN กว่า 50,000 รายการ ข้อมูลของแต่ละเซิร์ฟเวอร์ระบุชื่อผู้ใช้, รหัสผ่าน, ระดับสิทธิ์, และหมายเลขไอพีที่ผู้ใช้ใช้เชื่อมต่อเข้าไปยังเซิร์ฟเวอร์
Stefan Viehböck นักวิจัยจากบริษัท SEC Consult รายงานถึงช่อโหว่ของซอฟต์แวร์รักษาความปลอดภัยของบริษัท Fortinet ที่เชื่อมต่อกับเซิร์ฟเวอร์ guard.fortinet.com เพื่อตรวจสอบข้อมูล เช่น URL มุ่งร้ายในบริการ Web Filter, ตรวจอีเมลสแปม, หรือดาวน์โหลดข้อมูลสำหรับการป้องกันไวรัส
การเชื่อมต่อใช้ UDP พอร์ต 53/8888 และ TCP พอร์ต 80 โดยกระบวนการเชื่อมต่อไม่ได้เข้ารหัส แต่ข้อความภายในมีการเข้ารหัสด้วยกุญแจเข้ารหัสที่ hard code แล้วเข้ารหัสโดยนำกุญแจมา XOR กับข้อความ นับเป็นกระบวนการเข้ารหัสที่อ่อนแอ
ZDNet อ้างแหล่งข่าวที่เกี่ยวข้องกับการโจมตี ระบุว่ากลุ่มแฮกเกอร์ APT5 หรือ Mananese เริ่มใช้ช่องโหว่ VPN ของ Fortinet และ Pulse Secure เพื่อโจมตีเป็นวงกว้าง โดยช่องโหว่ทั้งสองรายการนั้นมีแพตช์ออกมาหลายเดือนแล้ว
ช่องโหว่ CVE-2018-13379 เป็นช่องโหว่ที่เปิดให้แฮกเกอร์สามารถอ่านไฟล์บนเซิร์ฟเวอร์ VPN ได้โดยไม่ต้องยืนยันตัวตน เปิดทางให้แฮกเกอร์ดาวน์โหลดไฟล์ของระบบออกมาได้ โดยทาง Fotinet ออกแพตช์มาตั้งแต่เดือนพฤษภาคม และรายละเอียดช่องโหว่มีการนำเสนอในงาน BlackHat 2019 ที่ผ่านมา
ร้านค้าแอพอย่าง App Stores, iTunes และ Google Play มีการเก็บค่าธรรมเนียมจากบริษัทที่มาลงขายแอพบนแพลตฟอร์ม แต่ใครจะยอมเสียค่าธรรมเนียมไปเรื่อยๆ ถ้าตัวเองสามารถเข้าถึงผู้ใช้ได้โดยไม่ต้องพึ่งพาร้านค้าแอพก็ได้
ปฏิกิริยาต่อต้านร้านค้าแอพไม่ใช่เรื่องใหม่ แต่กำลังสะสมจำนวนมากขึ้นเรื่อยๆ ตามมาด้วยความพยายามหาช่องทางใหม่ในการเข้าถึงผู้ใช้งาน โดยเฉพาะบรรดาแอพเพื่อความบันเทิง ตัวอย่างที่เห็นชัดคือ Fortnite for Android จะไม่มีให้โหลดผ่าน Google Play และ Netflix ก็กำลังทดสอบระบบจ่ายเงินที่ไม่ต้องผ่าน iTunes และยังมี Spotify ที่ยกเลิกการจ่ายเงินผ่าน iTunes ไปแล้ว
กระแส cryptocurrency ระบาดไปทุกวงการ ไม่เว้นแม้แต่วงการผู้สร้างมัลแวร์ ที่กำลังเริ่มเปลี่ยนจากการเรียกค่าไถ่ข้อมูลของผู้ใช้ (ransomware) มาเป็นการยึดเครื่องมาเพื่อขุดเหมืองแทน
หน่วยวิจัยความปลอดภัย FortiGuard Labs ในเครือบริษัท Fortinet ค้นพบว่ากลุ่มแฮ็กเกอร์ผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ VenusLocker ปรับเปลี่ยนแนวทางใหม่ เปลี่ยนมาเป็นนำมัลแวร์ไปติดพีซี เพื่อใช้ขุดเหรียญ Monero
กลุ่ม Shadow Broker ออกมาเปิดเผยเครื่องมือแฮกของกลุ่มสร้างมัลแวร์ระดับสูง ตอนนี้หลายบริษัทที่เกี่ยวข้องเริ่มนำเครื่องมือไปวิเคราะห์และพบว่าเครื่องมือเหล่านี้เป็นของจริง ที่อาศัยช่องโหว่ในซอฟต์แวร์ของเซิร์ฟเวอร์และอุปกรณ์เน็ตเวิร์ค ตอนนี้ผู้ผลิตอย่างซิสโก้ และ Fortinet ก็เร่งออกแพตช์มาอุดช่องโหว่เหล่านี้แล้ว
จากข่าวพบรหัสผ่านฝังใน FortiGate และมีการแจกโค้ดภาษาไพธอน เพื่อให้สามารถใช้ Secure Shell (SSH) เข้าไปควบคุม firewall ได้นั้น
ทาง Fortinet ชี้แจงว่าไม่ใช่ Backdoor แต่เป็นช่องโหว่ของการ Authentication เท่านั้นและพบปัญหานี้ใน FortiOS รุ่น 4.3.0 ถึง 4.3.16 และ 5.0.0 ถึง 5.0.7 ซึ่งได้แก้ไขไปแล้วตั้งแต่เดือนกรกฎาคม 2557
แต่ทาง Fortinet พบว่าปัญหานี้ไม่ได้มีแค่อุปกรณ์ FortiGate เท่านั้น ปัญหานี้มีอยู่ในอุปกรณ์หลายตัวของ Fortinet เท่าที่มีการตรวจสอบแล้วจะมี
หลังจากพบโค้ดลับใน ScreenOS ของ Juniper NetScreen เมื่อไม่กี่อาทิตย์ที่ผ่านมา ปรากฏว่าพบช่องโหว่คล้ายๆกันในอุปกรณ์ firewall ของ Fortinet โดยอยู่ใน FortiOS รุ่น 4.x จนถึงรุ่น 5.0.7
และนาย Ralf-Philipp Weinmann ผู้ที่เคยเปิดเผยรหัสผ่านของ ScreenOS ก็มาเปิดเผยรหัสผ่านของ FortiOS ด้วย ซึ่งรหัสผ่านที่ฝังไว้ใน FortiOS คือ "FGTAbc11*xy+Qqz27" รวมทั้งมีการแจกโค้ดที่ผ่านการทดสอบแล้วไว้ที่ seclists.org แล้วด้วย
ใครใช้ FortiGate firewall อยู่ ควรตรวจสอบรุ่นและทำการอัพเดตกันโดยด่วนครับ