Fortinet ได้ยืนยันการแก้ไขช่องโหว่ Zero-Day ระดับ critical ใน FortiWeb Web Application Firewall ภายหลังพบว่ากลุ่ม Hacker ได้พยายามโจมตีช่องโหว่ดังกล่าวอย่างต่อเนื่อง
ช่องโหว่ดังกล่าวได้ถูกแก้ไขภายหลังจากมีรายงานว่าพบ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน โจมตีโดยใช้ช่องโหว่ Path Traversal ใน FortiWeb เมื่อต้นเดือนตุลาคม เพื่อสร้าง Admin User ใหม่บนอุปกรณ์ที่มีช่องโหว่ซึ่งเปิดให้เข้าถึงได้จากอินเทอร์เน็ต
การโจมตีดังกล่าวถูกพบครั้งแรกโดยบริษัท Defused ซึ่งเป็นบริษัทด้านภัยคุกคามทางไซเบอร์ เมื่อวันที่ 6 ตุลาคม 2025 โดยบริษัทได้เผยแพร่ Proof-of-Concept (PoC) และรายงานว่า "ช่องโหว่ Fortinet ที่ยังไม่ถูกระบุหมายเลข (คาดว่าอาจเป็นช่องโหว่ที่ใกล้เคียงกับ CVE-2022-40684) กำลังถูกใช้เพื่อส่ง HTTP POST requests /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi ไปยัง Fortinet endpoint เพื่อสร้าง Admin User ภายในเครื่องที่มีช่องโหว่
ต่อมา นักวิจัยด้านความปลอดภัยของ watchTowr Labs ได้สาธิตการโจมตีช่องโหว่ และเปิดตัวเครื่องมือชื่อ "FortiWeb Authentication Bypass Artifact Generator" เพื่อช่วยให้ผู้ใช้สามารถระบุอุปกรณ์ที่มีช่องโหว่ได้
Rapid7 บริษัทรักษาความปลอดภัยไซเบอร์ เสริมว่าช่องโหว่นี้ส่งผลกระทบต่อ FortiWeb เวอร์ชัน 8.0.1 และเวอร์ชันก่อนหน้า โดยยืนยันว่า Proof-of-Concept (PoC) ที่เผยแพร่สู่สาธารณะนี้จะใช้งานไม่ได้อีกต่อไปหลังจากอัปเดตเป็นเวอร์ชัน 8.0.2
Fortinet เปิดเผยว่า Hacker ได้ใช้ช่องโหว่ Path Confusion (ปัจจุบันมีหมายเลข CVE-2025-64446) ใน GUI component ของ FortiWeb ซึ่งทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตน สามารถ execute administrative commands บนระบบที่มีช่องโหว่ ผ่าน HTTP หรือ HTTPS requests ที่ถูกสร้างขึ้นมาโดยเฉพาะได้
บริษัทระบุในคำแนะนำด้านความปลอดภัยว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตี โดยยืนยันว่าช่องโหว่ Zero-Day ดังกล่าว ได้รับการแก้ไขแล้วใน FortiWeb 8.0.2 ซึ่งเผยแพร่เมื่อวันที่ 28 ตุลาคม 2025 สามสัปดาห์หลังจากการรายงานครั้งแรกว่าช่องโหว่ CVE-2025-64446 กำลังถูกใช้ในการโจมตี
FortiWeb Version ที่ได้รับผลกระทบ
- FortiWeb Version 8.0 จนถึง 8.0.1 >> Upgrade เป็น Version 8.0.2 หรือสูงกว่า
- FortiWeb Version 7.6 จนถึง 7.6.4 >> Upgrade เป็น Version 7.6.5 หรือสูงกว่า
- FortiWeb Version 7.4 จนถึง 7.4.9 >> Upgrade เป็น Version 7.4.10 หรือสูงกว่า
- FortiWeb Version 7.2 จนถึง 7.2.11 >> Upgrade เป็น Version 7.2.12 หรือสูงกว่า
- FortiWeb Version 7.0 จนถึง 7.0.11 >> Upgrade เป็น Version 7.0.12 หรือสูงกว่า
หน่วยงานรัฐบาลกลางสั่งให้แก้ไขช่องโหว่ภายในหนึ่งสัปดาห์
CISA ยังได้เพิ่มช่องโหว่ CVE-2025-64446 Path Traversal เข้าไปในรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ ดำเนินการแก้ไขภายในวันที่ 21 พฤศจิกายน 2025
หน่วยงานความมั่นคงปลอดภัยไซเบอร์เตือนว่า "ช่องโหว่ประเภทนี้มักถูกใช้โจมตีบ่อยครั้งสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมากต่อหน่วยงานของรัฐบาลกลาง"
ผู้ดูแลระบบที่ไม่สามารถอัปเกรดเป็น FortiWeb 8.0.2 ได้ทันที ควรปิดใช้งาน HTTP หรือ HTTPS สำหรับ Management Interfaces ทั้งหมดที่เชื่อมต่อกับอินเทอร์เน็ต และตรวจสอบให้แน่ใจว่าการเข้าถึงถูกจำกัดไว้เฉพาะเครือข่ายที่เชื่อถือได้
Fortinet ยังแนะนำให้ลูกค้าตรวจสอบการกำหนดค่า และตรวจสอบ Log สำหรับบัญชีผู้ดูแลระบบที่ถูกสร้างขึ้นใหม่ และพฤติกรรมที่ไม่ปกติอื่น ๆ
ในเดือนสิงหาคม 2025 Fortinet ได้แก้ไขช่องโหว Command Injection (CVE-2025-25256) ซึ่งมี exploit code ถูกปล่อยออกสู่สาธารณะในโซลูชัน FortiSIEM security monitoring และหนึ่งวันหลังนั้น บริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ยังได้แจ้งเตือนถึงการโจมตีในรูปแบบ Brute-Force Attacks ที่มุ่งเป้าไปที่ SSL VPN ของ Fortinet เพิ่มขึ้นอย่างต่อเนื่อง
ที่มา : bleepingcomputer
You must be logged in to post a comment.