Fortinet ได้ออกคำเตือนเกี่ยวกับช่องโหว่ Remote Unauthenticated Command Injection ใน FortiSIEM ซึ่งขณะนี้มี exploit code ออกมาแล้ว ทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตความปลอดภัยล่าสุดในทันที
FortiSIEM เป็นระบบศูนย์กลางสำหรับการเฝ้าระวัง และวิเคราะห์ความปลอดภัยที่ใช้ในการ logging, network telemetry และการแจ้งเตือนเหตุการณ์ด้านความปลอดภัย โดยทำหน้าที่เป็นส่วนสำคัญของศูนย์ security operation centers (SOC) ซึ่งเป็นเครื่องมือสำคัญสำหรับทีมปฏิบัติการด้านไอที และ security analysts
ผลิตภัณฑ์นี้ถูกใช้อย่างแพร่หลายโดยหน่วยงานรัฐบาล, องค์กรขนาดใหญ่, สถาบันการเงิน, ผู้ให้บริการด้านสาธารณสุข และผู้ให้บริการด้านความปลอดภัยแบบ MSSPs
ช่องโหว่นี้มีหมายเลข CVE-2025-25256 และถูกจัดอยู่ในระดับ Critical (CVSS: 9.8) โดยส่งผลกระทบต่อหลายเวอร์ชันของ SIEM ตั้งแต่ 5.4 จนถึง 7.3
Fortinet อธิบายว่า “ช่องโหว่ OS Command Injection [CWE-78] ใน FortiSIEM อาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่าน CLI request ที่ถูกสร้างขึ้นมาโดยเฉพาะได้”
แม้ว่า Fortinet จะไม่ได้ระบุอย่างชัดเจนว่าช่องโหว่นี้กำลังถูกนำไปใช้โจมตีในลักษณะ zero-day แต่ก็ได้ยืนยันว่ามี exploit code ที่สามารถโจมตีช่องโหว่นี้ได้จริง
Fortinet ระบุเพิ่มเติมว่า การโจมตีช่องโหว่นี้ไม่ทำให้เกิด IOCs ที่ชัดเจนเพื่อใช้ยืนยันว่ามีการเจาะระบบเกิดขึ้นแล้วหรือไม่
การเปิดเผยข้อมูลนี้เกิดขึ้นเพียงหนึ่งวันหลังจากที่ GreyNoise ออกมาเตือนว่ามีการเพิ่มขึ้นอย่างมหาศาลของการโจมตีแบบ brute-force ที่มุ่งเป้าไปยัง Fortinet SSL VPN เมื่อต้นเดือนที่ผ่านมา และต่อมาก็มีการเปลี่ยนเป้าไปที่ FortiManager โดย GreyNoise ยังเตือนด้วยว่าการเพิ่มขึ้นของ Traffic ที่เป็นอันตรายมักจะเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่
ยังไม่ชัดเจนว่าการเปิดเผยข้อมูลช่องโหว่ CVE-2025-25256 ของ Fortinet ในครั้งนี้มีความเกี่ยวข้องกับรายงานของ GreyNoise หรือไม่
เนื่องจากมีการเผยแพร่โค้ดตัวอย่างการโจมตี (PoC) แล้ว องค์กรต่าง ๆ จึงจำเป็นต้องอัปเดตความปลอดภัยล่าสุดสำหรับ CVE-2025-25256 โดยเร็วที่สุด โดยการอัปเกรดเป็น FortiSIEM เวอร์ชันต่อไปนี้:
- FortiSIEM 7.3.2
- FortiSIEM 7.2.6
- FortiSIEM 7.1.8
- FortiSIEM 7.0.4
- FortiSIEM 6.7.10
FortiSIEM เวอร์ชัน 5.4 ถึง 6.6 ก็ยังคงมีช่องโหว่ในทุกเวอร์ชัน แต่เนื่องจากไม่รองรับการสนับสนุนอีกต่อไป จึงจะไม่ได้รับแพตช์แก้ไขใด ๆ ผู้ดูแลระบบที่ยังคงใช้ FortiSIEM เวอร์ชันเก่าได้รับคำแนะนำให้ย้ายไปใช้เวอร์ชันใหม่ที่ยังได้รับการสนับสนุนอย่างต่อเนื่อง
Fortinet ยังได้แนะนำวิธีแก้ปัญหาชั่วคราว โดยการจำกัดการเข้าถึง phMonitor บน port 7900 ซึ่งถูกระบุว่าเป็นช่องทางที่ถูกใช้ในการโจมตี
วิธีแก้ไขปัญหาชั่วคราวลักษณะนี้เป็นเพียงการลดความเสี่ยง และช่วยยืดเวลาไปจนกว่าจะสามารถอัปเกรดระบบได้ อย่างไรก็ตาม วิธีแก้ไขปัญหาชั่วคราวเหล่านี้ไม่ได้แก้ไขช่องโหว่ที่เป็นต้นเหตุโดยตรง
ที่มา : bleepingcomputer
You must be logged in to post a comment.