มีการเผยแพร่รายละเอียดทางเทคนิค และโค้ดการโจมตีระบบ สำหรับช่องโหว่ระดับ critical ที่ส่งผลกระทบต่อโซลูชัน Security Information and Event Management (SIEM) ของ Fortinet ออกสู่สาธารณะ โดยผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องยืนผ่านการยันตัวตน สามารถใช้ช่องโหว่ดังกล่าวเพื่อเรียกใช้คำสั่ง หรือโค้ดใด ๆ ก็ได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-64155 ซึ่งเกิดจากการรวมตัวกันของช่องโหว่ 2 รายการ ที่ทำให้ผู้โจมตีสามารถเขียนข้อมูลได้ตามที่ต้องการ ด้วยสิทธิ์ระดับผู้ดูแลระบบ และสามารถยกระดับสิทธิ์ไปเป็นระดับ Root ได้
นักวิจัยจากทีม penetration testing ของบริษัท Horizon3.ai ได้รายงานช่องโหว่ด้านความปลอดภัยนี้ตั้งแต่ช่วงกลางเดือนสิงหาคม 2025 แต่เพิ่งได้รับการแก้ไขเมื่อวันที่ 13 มกราคม 2026 ที่ผ่านมา
Fortinet ได้อธิบายถึงช่องโหว่ CVE-2025-64155 ว่าเป็น "การจัดการ special elements ที่ใช้ในคำสั่งบน OS อย่างไม่เหมาะสมภายใน FortiSIEM ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาต ผ่านทาง TCP request ที่ถูกสร้างขึ้นมาเป็นพิเศษได้"
ทาง Horizon3.ai ได้เผยแพร่รายงานเชิงลึกอธิบายว่า ต้นตอของปัญหานี้เกิดจากการเปิดให้เข้าถึง Command Handlers จำนวนหลายสิบตัวบน phMonitor service ซึ่งสามารถถูกเรียกใช้งานจากระยะไกลได้โดยไม่ต้องมีการยืนยันตัวตน
ทีมนักวิจัยระบุว่า service นี้เป็นจุดเริ่มต้นของช่องโหว่ใน FortiSIEM หลายรายการในช่วงหลายปีที่ผ่านมา เช่น CVE-2023-34992 และ CVE-2024-23108 พร้อมทั้งเน้นย้ำว่ากลุ่ม ransomware อย่าง Black Basta เคยแสดงความสนใจอย่างจริงจังที่จะใช้การโจมตีจากช่องโหว่ลักษณะนี้มาก่อนหน้านี้แล้ว
นอกเหนือจากรายละเอียดทางเทคนิคเกี่ยวกับ CVE-2025-64155 แล้ว นักวิจัยยังได้เผยแพร่โค้ด Demonstrative Exploit อีกด้วย โดยทางนักวิจัยตัดสินใจเปิดเผยโค้ดดังกล่าวเนื่องจากทาง Vendor ได้ส่งมอบแพตช์แก้ไข และเผยแพร่คำแนะนำด้านความปลอดภัยเป็นที่เรียบร้อยแล้ว
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ FortiSIEM ตั้งแต่เวอร์ชัน 6.7 ถึง 7.5 โดยมีการออกเวอร์ชันแก้ไขให้กับรุ่นต่าง ๆ ดังต่อไปนี้
- FortiSIEM 7.4.1 หรือสูงกว่า
- FortiSIEM 7.3.5 หรือสูงกว่า
- FortiSIEM 7.2.7 หรือสูงกว่า
- FortiSIEM 7.1.9 หรือสูงกว่า
FortiSIEM เวอร์ชัน 7.0 และ 6.7.0 ก็ได้รับผลกระทบเช่นกัน แต่เนื่องจากเวอร์ชันเหล่านี้หมดระยะเวลาการ support ไปแล้ว จึงจะไม่ได้รับการแก้ไขสำหรับช่องโหว่ CVE-2025-64155
ทาง Fortinet ได้ชี้แจงว่าช่องโหว่ดังกล่าว ไม่ส่งผลกระทบ ต่อ FortiSIEM 7.5 และ FortiSIEM Cloud
สำหรับผู้ที่ไม่สามารถอัปเดตแพตช์ความปลอดภัยได้ในทันที ทางผู้ผลิตแนะนำวิธีแก้ปัญหาชั่วคราวเพียงวิธีเดียวคือ การจำกัดการเข้าถึง phMonitor port (7900)
นอกจากนี้ Horizon3.ai ยังได้แชร์ Indicators of Compromise เพื่อช่วยให้องค์กรต่าง ๆ สามารถตรวจจับระบบที่ถูกเจาะได้ โดยให้ตรวจสอบ Log ของ messages ที่ได้รับทาง phMonitor (ที่ไฟล์ /opt/phoenix/log/phoenix.logs) ซึ่งบรรทัดที่มีข้อความ 'PHL_ERROR' จะระบุ URL ของ payload และชื่อไฟล์ที่ถูกเขียนลงไป
ที่มา : bleepingcomputer
You must be logged in to post a comment.