พบข้อมูลบัญชี VPN ของ Fortinet กว่า 73,000 อุปกรณ์รั่วไหลทั่วโลก
นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ที่ถูกตั้งชื่อว่า FortiBleed ซึ่งเกี่ยวข้องกับข้อมูลบัญชีผู้ใช้งานของอุปกรณ์ Fortinet และ FortiGate VPN จำนวน 73,932 รายการจากองค์กรทั่วโลก
ข้อมูลดังกล่าวถูกค้นพบโดย Bob Diachenko นักวิจัยด้านความปลอดภัยไซเบอร์ ซึ่งพบเซิร์ฟเวอร์ที่เปิดเผยข้อมูลบัญชี VPN ของ Fortinet โดยประกอบด้วยชื่อผู้ใช้ (Username) อีเมล และรหัสผ่านในรูปแบบ Plaintext ที่อาจยังสามารถใช้งานได้จริง
จากการวิเคราะห์เพิ่มเติม พบว่ากลุ่มผู้โจมตีซึ่งคาดว่าเป็นกลุ่มอาชญากรไซเบอร์ที่ใช้ภาษารัสเซีย ได้ดำเนินการโจมตีแบบ Credential Harvesting และ Brute Force ในวงกว้าง โดยมีการพยายามเข้าสู่ระบบมากกว่า 1.16 พันล้านครั้งต่ออุปกรณ์ FortiGate กว่า 320,000 เครื่อง และอีกกว่า 2.1 พันล้านครั้งต่อระบบ Microsoft SQL Server
ฐานข้อมูลที่รั่วไหลครอบคลุมอุปกรณ์ใน 194 ประเทศ และเกี่ยวข้องกับองค์กรขนาดใหญ่จำนวนมาก อาทิ Samsung, Foxconn, Comcast, Siemens, Lenovo, Oracle รวมถึงหน่วยงานภาครัฐและโครงสร้างพื้นฐานสำคัญหลายแห่งทั่วโลก
นักวิจัย Kevin Beaumont ได้ตรวจสอบข้อมูลบางส่วนและยืนยันว่าข้อมูลที่รั่วไหลดังกล่าวมีความน่าเชื่อถือ โดยพบว่าอุปกรณ์จำนวนมากยังคงออนไลน์และบางบัญชียังคงสามารถใช้งานได้จริง นอกจากนี้ข้อมูลที่รั่วไหลยังมีลักษณะคล้ายกับไฟล์ Configuration ที่ถูกส่งออกจากอุปกรณ์ Fortinet
อย่างไรก็ตาม Fortinet ระบุว่าเหตุการณ์ดังกล่าวไม่ได้เกิดจากช่องโหว่ใหม่หรือการโจมตีระบบของบริษัทในปัจจุบัน แต่เป็นการนำข้อมูลที่ได้มาจากเหตุการณ์ในอดีต รวมถึงการโจมตีแบบเดารหัสผ่าน (Brute Force) มารวบรวมและเผยแพร่ซ้ำ
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยระบุว่า หากผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ดูแลระบบหรือ VPN ได้สำเร็จ อาจนำไปสู่การเข้าถึงเครือข่ายภายในองค์กร การปรับเปลี่ยนการตั้งค่าความปลอดภัย หรือการเคลื่อนย้ายไปยังระบบอื่นภายในเครือข่ายได้
ข้อแนะนำสำหรับผู้ดูแลระบบ
- เปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบและ VPN ทันที
- เปิดใช้งาน Multi-Factor Authentication (MFA)
- ตรวจสอบบันทึกการเข้าใช้งานย้อนหลังเพื่อค้นหาความผิดปกติ
- อัปเดต FortiOS และแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุด
- จำกัดการเข้าถึงหน้า Management จากอินเทอร์เน็ตสาธารณะเท่าที่จำเป็น
เหตุการณ์ FortiBleed สะท้อนให้เห็นถึงความสำคัญของการบริหารจัดการรหัสผ่าน การใช้งาน MFA และการติดตามข่าวสารด้านความปลอดภัยอย่างต่อเนื่อง เพื่อช่วยลดความเสี่ยงจากการโจมตีทางไซเบอร์ที่มีแนวโน้มเพิ่มขึ้นในปัจจุบัน
ที่มา bleepingcomputer
