CVE-2023-27997 ช่องโหว่ FortiGate ที่ทุกองค์กรต้องแพตช์ทันที
CVE-2023-27997 เป็นหนึ่งในช่องโหว่ที่อันตรายที่สุดที่เคยถูกค้นพบในผลิตภัณฑ์ Fortinet เป็นช่องโหว่ประเภท Heap-based Buffer Overflow ใน FortiOS ที่เปิดโอกาสให้ผู้โจมตีเข้าควบคุมอุปกรณ์ FortiGate ได้ผ่านหน้าเว็บ SSL VPN โดยไม่ต้องมีข้อมูลรับรองตัวตนใดๆ เลย
สถานการณ์นี้เป็นบทเรียนสำคัญเรื่องความปลอดภัยของระบบเครือข่ายที่ทุกองค์กรไม่ควรมองข้าม
ช่องโหว่นี้ทำงานอย่างไร
ช่องโหว่อยู่ในส่วนของ SSL VPN ซึ่งเป็นฟีเจอร์ที่ให้พนักงานเชื่อมต่อเข้าสู่เครือข่ายองค์กรจากภายนอก ผู้โจมตีสามารถส่ง Request ที่ออกแบบมาเป็นพิเศษไปยังหน้าเว็บ SSL VPN เพื่อทำให้เกิด Buffer Overflow ซึ่งนำไปสู่การรันโค้ดอันตรายบนอุปกรณ์ได้
สิ่งที่ทำให้ช่องโหว่นี้อันตรายเป็นพิเศษคือสามารถถูกโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน (Pre-authentication) ใครก็ตามที่เข้าถึงหน้าเว็บ SSL VPN ได้ก็สามารถใช้ช่องโหว่นี้โจมตีได้ทันที
ขนาดของปัญหาที่น่าตกใจ
จากการสำรวจของ Bishop Fox ผ่าน Shodan พบอุปกรณ์ FortiGate ที่เปิดเข้าถึงจากอินเทอร์เน็ตถึง 489,337 เครื่องทั่วโลก เมื่อหักอุปกรณ์ที่อัปเดตแพตช์แล้ว 153,414 เครื่อง ยังเหลืออุปกรณ์ที่อยู่ในสถานะเสี่ยงถึง 335,900 เครื่อง
ที่น่าตกใจยิ่งกว่าคือบางส่วนยังใช้ FortiOS เวอร์ชัน 6 ที่สิ้นสุดการสนับสนุนแล้ว หมายความว่าจะไม่มีแพตช์ออกมาแก้ไขให้อีก
Bishop Fox สาธิตการโจมตีจริง
Bishop Fox ได้สาธิตวิธีโจมตีต่อสาธารณะ แสดงให้เห็นว่าผู้โจมตีสามารถเชื่อมต่อเข้าสู่อุปกรณ์ที่มีช่องโหว่และดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ได้โดยตรง ยืนยันว่าช่องโหว่ถูกใช้โจมตีได้จริงในสภาพแวดล้อมจริง
วิธีป้องกันและแก้ไข
อัปเดต FortiOS ทันที
สิ่งแรกที่ต้องทำคืออัปเดต FortiOS เป็นเวอร์ชันล่าสุด หากใช้เวอร์ชันที่สิ้นสุดการสนับสนุน ต้องอัปเกรดฮาร์ดแวร์หรือเปลี่ยนเวอร์ชันที่ยังได้รับการสนับสนุน
จำกัดการเข้าถึง SSL VPN
ตรวจสอบว่า SSL VPN จำเป็นต้องเปิดให้เข้าถึงจากอินเทอร์เน็ตหรือไม่ หากไม่จำเป็นก็ปิด และจำกัดเฉพาะ IP ที่ได้รับอนุญาต
วางระบบรักษาความปลอดภัยครบวงจร
การมีระบบรักษาความปลอดภัยที่ครอบคลุมเป็นสิ่งจำเป็น ตั้งแต่การตรวจสอบช่องโหว่สม่ำเสมอ ติดตั้ง IDS/IPS และทำ Penetration Testing
บทเรียนสำคัญจาก CVE-2023-27997
อุปกรณ์เครือข่ายอย่าง Firewall และ VPN Gateway เป็นด่านหน้าขององค์กร หากถูกโจมตีสำเร็จ ผู้โจมตีจะเข้าถึงเครือข่ายภายในทั้งหมดได้ องค์กรจึงควรมีนโยบายอัปเดตแพตช์ที่ชัดเจน ระบบติดตามช่องโหว่ใหม่ และแผนรับมือเหตุการณ์ด้านความปลอดภัย
สำหรับองค์กรที่ต้องการความมั่นใจ การเลือกบริการเซิร์ฟเวอร์ที่มีระบบรักษาความปลอดภัยครบครัน จะช่วยลดความเสี่ยงจากภัยคุกคามไซเบอร์ได้
คำถามที่พบบ่อย (FAQ)
CVE-2023-27997 ส่งผลกระทบกับ FortiGate ทุกรุ่นไหม?
ส่งผลกระทบกับ FortiGate ทุกรุ่นที่ใช้ FortiOS และเปิดใช้ SSL VPN ไม่ว่าจะเป็นรุ่นเล็กหรือรุ่นใหญ่
ถ้าไม่ได้เปิด SSL VPN ยังเสี่ยงอยู่ไหม?
หากไม่ได้เปิดใช้ SSL VPN ความเสี่ยงจะลดลงมาก แต่ยังควรอัปเดต FortiOS เป็นเวอร์ชันล่าสุดอยู่ดี
จะรู้ได้อย่างไรว่า FortiGate ถูกโจมตีแล้ว?
ตรวจสอบ Log ของระบบ ดู Request ที่ผิดปกติมายัง SSL VPN และใช้เครื่องมือ IOC (Indicators of Compromise) ที่ Fortinet เผยแพร่
ควรเปลี่ยนจาก FortiGate ไปใช้ยี่ห้ออื่นไหม?
ไม่จำเป็น ทุกยี่ห้อมีช่องโหว่ได้ สิ่งสำคัญคือต้องมีนโยบายอัปเดตแพตช์ที่รวดเร็วและระบบ Monitoring ที่ดี
สรุป
CVE-2023-27997 เป็นบทเรียนสำคัญว่าการรักษาความปลอดภัยไม่ใช่สิ่งที่ทำครั้งเดียวแล้วจบ แต่เป็นกระบวนการต่อเนื่อง อัปเดตแพตช์ ตรวจสอบช่องโหว่ และเตรียมพร้อมรับมืออยู่เสมอ หากต้องการทีมผู้เชี่ยวชาญดูแลความปลอดภัยเซิร์ฟเวอร์ให้ ติดต่อ DriteStudio วันนี้