Defused บริษัทด้านข่าวกรองภัยคุกคามทางไซเบอร์รายงานว่า ขณะนี้ผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ระดับ Critical บนแพลตฟอร์ม FortiClient EMS ของ Fortinet ในการโจมตีอย่างต่อเนื่อง
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-21643 ซึ่งเป็นช่องโหว่ประเภท SQL Injection เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาต สามารถเรียกใช้โค้ด หรือคำสั่งได้ตามต้องการบนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ ผ่านการโจมตีที่มีความซับซ้อนต่ำ โดยมุ่งเป้าไปที่ GUI (web interface) ของ FortiClientEMS ด้วยการส่ง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษ
Defused แจ้งเตือนเมื่อช่วงสุดสัปดาห์ที่ผ่านมาว่า ช่องโหว่ CVE-2026-21643 ของ Fortinet Forticlient EMS ซึ่งปัจจุบันยังคงอยู่ในรายการของ CISA และฐานข้อมูลช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) ที่มีข้อมูลว่ายังไม่พบการโจมตีนั้น แท้จริงแล้วจากข้อมูลพบว่ามีการเริ่มโจมตีครั้งแรกไปตั้งแต่ 4 วันที่แล้ว
ผู้โจมตีสามารถแอบส่งคำสั่ง SQL smuggling ผ่าน 'Site'-header ภายใน HTTP request ได้ ซึ่งจากข้อมูลของ Shodan พบว่ามี FortiClient EMS เกือบ 1,000 เครื่อง ที่เปิดให้เข้าถึงได้จากภายนอก
ช่องโหว่นี้ถูกค้นพบเป็นการภายในโดย Gwendal Guégniaud จากทีมความปลอดภัยผลิตภัณฑ์ของ Fortinet โดยส่งผลกระทบต่อ FortiClient EMS เวอร์ชัน 7.4.4 และสามารถแก้ไขได้ด้วยการอัปเกรดเป็น เวอร์ชัน 7.4.5 หรือสูงกว่า
ขณะนี้ Fortinet ยังไม่ได้อัปเดตประกาศเตือนด้านความปลอดภัยเพื่อระบุว่า ช่องโหว่นี้มีการนำไปใช้โจมตีจริงแต่อย่างใด โดยทาง BleepingComputer ได้ติดต่อไปยังโฆษกของ Fortinet เพื่อขอคำยืนยันเกี่ยวกับรายงานการโจมตีดังกล่าว แต่ยังไม่ได้รับการตอบกลับในทันที
Shadowserver ซึ่งเป็นกลุ่มเฝ้าระวังความปลอดภัยทางอินเทอร์เน็ต กำลังติดตาม FortiClient EMS มากกว่า 2,000 เครื่องที่มีเว็บอินเทอร์เฟซเปิดเผยไปยังภายนอก โดยมี IP มากกว่า 1,400 รายการในสหรัฐอเมริกา และยุโรป
จากการค้นหาใน Shodan พบว่ามีช่องโหว่นอกเหนือจาก FortiClient EMS ซึ่งส่วนใหญ่อยู่ในสหรัฐอเมริกา
ช่องโหว่ของ Fortinet มักถูกผู้โจมตีนำมาใช้เป็นช่องทางในการเจาะเข้าสู่เครือข่ายองค์กร เพื่อทำการโจมตีด้วย Ransomware และแคมเปญการโจมตีทางไซเบอร์ (ซึ่งบ่อยครั้งมักมาในรูปแบบของช่องโหว่ Zero-day ที่ถูกโจมตีในขณะที่ยังไม่มีแพตช์แก้ไขออกมา)
ล่าสุด Fortinet ได้แก้ไขช่องโหว่ Zero-day CVE-2026-24858 โดยบล็อกการเชื่อมต่อ FortiCloud SSO จากอุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชันที่มีช่องโหว่
เมื่อ 2 ปีก่อน ในเดือนมีนาคม ปี 2024 สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้สั่งการให้หน่วยงานของรัฐบาลกลางเร่งอัปเดตแพตช์ของช่องโหว่ SQL injection อีกรายการหนึ่งใน FortiClient EMS ซึ่งถูกนำไปใช้ในการโจมตีด้วย Ransomware จากกลุ่มผู้โจมตี Salt Typhoon ที่ได้รับการสนับสนุนจากรัฐบาลจีน เพื่อโจมตีเข้าสู่ระบบของผู้ให้บริการด้านโทรคมนาคม
โดยรวมแล้ว CISA ได้ระบุช่องโหว่ของ Fortinet จำนวน 24 รายการ ที่กำลังถูกนำไปใช้ในการโจมตี ซึ่งในจำนวนนี้มีถึง 13 รายการที่ถูกใช้ในการโจมตีด้วย ransomware
ที่อยู่ : bleepingcomputer
You must be logged in to post a comment.