ភាពងាយរងគ្រោះ CVE-2022-42475

ចន្លោះឆ្នាំ 2022 និង 2023 តួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋដែលមានទំនាក់ទំនងជាមួយប្រទេសចិនបានជ្រៀតចូលប្រព័ន្ធ Fortinet FortiGate ចំនួន 20,000 នៅទូទាំងពិភពលោកដោយទាញយកប្រយោជន៍ពីកំហុសសុវត្ថិភាពដ៏សំខាន់ដែលគេស្គាល់។ ការបំពាននេះបង្ហាញពីផលប៉ះពាល់យ៉ាងទូលំទូលាយជាងការទទួលស្គាល់ពីមុន។

តួអង្គរដ្ឋដែលទទួលខុសត្រូវចំពោះប្រតិបត្តិការនេះបានដឹងពីភាពងាយរងគ្រោះនៅក្នុងប្រព័ន្ធ FortiGate យ៉ាងហោចណាស់ពីរខែមុនពេលវាត្រូវបានបង្ហាញដោយ Fortinet ។ ក្នុងអំឡុងពេលនេះ ដែលត្រូវបានគេស្គាល់ថាជាបង្អួចសូន្យថ្ងៃ តារាសម្តែងរូបនេះបានសម្របសម្រួលឧបករណ៍ចំនួន 14,000 ដោយជោគជ័យ។

យោងតាមរបាយការណ៍រួមដោយសេវាស៊ើបការណ៍សម្ងាត់យោធាហូឡង់ (MIVD) និងសេវាស៊ើបការណ៍សម្ងាត់ និងសន្តិសុខទូទៅ (AIVD) នៅដើមឆ្នាំ 2024 ពួក Hacker ចិនបានទាញយកប្រយោជន៍ពី CVE-2022-42475 ដែលជាភាពងាយរងគ្រោះដ៏សំខាន់សម្រាប់ប្រតិបត្តិការកូដពីចម្ងាយ FortiOS/FortiProxy ។ ក្នុងរយៈពេលជាច្រើនខែក្នុងឆ្នាំ 2022 និង 2023 អ្នកវាយប្រហារបានគ្រប់គ្រងការដំឡើងមេរោគនៅលើឧបករណ៍សុវត្ថិភាពបណ្តាញ Fortigate ដែលងាយរងគ្រោះ។

អ្នកវាយប្រហារបានដាក់ពង្រាយ Coathanger RAT ទៅកាន់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួល

មេរោគ Coathanger Remote Access Trojan (RAT) ដែលត្រូវបានរកឃើញនៅក្នុងការវាយប្រហារ ក៏ត្រូវបានរកឃើញនៅលើបណ្តាញដែលជាកម្មសិទ្ធិរបស់ក្រសួងការពារជាតិហូឡង់ ដែលត្រូវបានប្រើជាពិសេសសម្រាប់ការស្រាវជ្រាវ និងអភិវឌ្ឍន៍ (R&D) លើគម្រោងដែលមិនបានចាត់ថ្នាក់។ ជាសំណាងល្អ ដោយសារតែការបែងចែកបណ្តាញ អ្នកវាយប្រហារត្រូវបានរារាំងពីការជ្រៀតចូលប្រព័ន្ធផ្សេងទៀត។

មេរោគ malware ដែលមិនបានបង្ហាញពីមុននេះ ដែលមានសមត្ថភាពបន្តតាមរយៈការចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ និងការអាប់ដេតកម្មវិធីបង្កប់ ត្រូវបានប្រើប្រាស់ដោយក្រុមលួចចូលគាំទ្រដោយរដ្ឋរបស់ចិននៅក្នុងយុទ្ធនាការចារកម្មនយោបាយដែលផ្តោតលើប្រទេសហូឡង់ និងសម្ព័ន្ធមិត្តរបស់ខ្លួន។ នេះបានផ្តល់សិទ្ធិឱ្យតួអង្គរដ្ឋបន្តចូលប្រើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ទោះបីជាមានការអាប់ដេតសុវត្ថិភាពពី FortiGate ក៏ដោយ ក៏តួអង្គរដ្ឋរក្សាការចូលប្រើនេះ។

ចំនួនពិតប្រាកដនៃជនរងគ្រោះដែលមានមេរោគដែលបានដំឡើងនោះ នៅតែមិនទាន់ដឹងនៅឡើយ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវប៉ាន់ស្មានថាតួអង្គរដ្ឋអាចពង្រីកលទ្ធភាពរបស់ពួកគេទៅកាន់ជនរងគ្រោះរាប់រយនាក់នៅទូទាំងពិភពលោក ដោយអាចធ្វើសកម្មភាពបន្ថែមទៀតដូចជាការលួចទិន្នន័យជាដើម។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចនៅតែមានសិទ្ធិចូលប្រើឧបករណ៍ដែលបំពាន

ចាប់តាំងពីខែកុម្ភៈមក វាបានកើតឡើងដែលថាក្រុមគំរាមកំហែងរបស់ចិនបានចូលប្រើប្រព័ន្ធ FortiGate ជាង 20,000 នៅទូទាំងពិភពលោកចន្លោះឆ្នាំ 2022 និង 2023 ដែលមានរយៈពេលជាច្រើនខែ យ៉ាងហោចណាស់ពីរខែមុនពេល Fortinet បង្ហាញភាពងាយរងគ្រោះ CVE-2022-42475 ។

MIVD ណែនាំថាពួក Hacker ជនជាតិចិនទំនងជារក្សាការចូលទៅកាន់ជនរងគ្រោះជាច្រើនដោយសារតែមេរោគ Coahanger មានភាពប៉ិនប្រសប់ក្នុងការគេចពីការរកឃើញដោយការស្ទាក់ចាប់ការហៅតាមប្រព័ន្ធដែលធ្វើឱ្យវត្តមានរបស់វាពិបាកក្នុងការកំណត់អត្តសញ្ញាណ។ ជាងនេះទៅទៀត វាមានភាពធន់ទ្រាំនឹងការដកចេញ និងរស់រានមានជីវិតពីការអាប់ដេតកម្មវិធីបង្កប់។ CVE-2022-42475 ត្រូវបានកេងប្រវ័ញ្ចជាភាពងាយរងគ្រោះសូន្យថ្ងៃ ដែលផ្តោតជាចម្បងទៅលើអង្គការរដ្ឋាភិបាល និងអង្គភាពពាក់ព័ន្ធ ដូចដែលបានបង្ហាញក្នុងខែមករា ឆ្នាំ 2023។

ការវាយប្រហារទាំងនេះចែករំលែកភាពស្រដៀងគ្នាដ៏គួរឱ្យចាប់អារម្មណ៍ជាមួយនឹងយុទ្ធនាការលួចចូលរបស់ចិនមួយផ្សេងទៀតដែលផ្តោតលើការទាញយកឧបករណ៍ SonicWall Secure Mobile Access (SMA) ដែលមិនបានជួសជុល ដោយប្រើមេរោគចារកម្មតាមអ៊ីនធឺណិតដែលត្រូវបានរចនាឡើងដើម្បីបន្តតាមរយៈការអាប់ដេតកម្មវិធីបង្កប់។