กลุ่มผู้โจมตีกำลังดำเนินการโจมตีโดยใช้ประโยชน์จากช่องโหว่ระดับ Critical หลายรายการบนแพลตฟอร์ม FortiSandbox ของ Fortinet ซึ่งข้อมูลการตรวจจับร่องรอยการโจมตีแบบ Realtime ยืนยันพบความพยายามเจาะระบบดังกล่าวภายใน 24 ชั่วโมงที่ผ่านมา
บริษัท Defused ได้ระบุหมายเลขช่องโหว่จำนวน 3 รายการที่กำลังตกเป็นเป้าหมายของการโจมตีในขณะนี้ รวมถึงช่องโหว่หมายเลข CVE-2026-39813 ที่ไม่เคยมีประวัติการถูกนำมาใช้โจมตีมาก่อน
ระบบตรวจจับภัยคุกคามแบบ Honeypot และ Deception Infrastructure ที่ถูกปรับแต่งให้เลียนแบบระบบ Fortinet FortiSandbox สามารถตรวจจับความพยายามในการเจาะระบบผ่านช่องโหว่ทั้ง 3 รายการได้ โดยการโจมตีทั้งหมดเกิดขึ้นผ่าน Port 443 ในรูปแบบของการส่ง POST Requests ที่ถูกสร้างขึ้นมาเป็นพิเศษ ไปยัง API Endpoint /jsonrpc/
CVE-2026-39813 : เป็นช่องโหว่ประเภท Path Traversal (CWE-24) บนระบบ FortiSandbox JRPC API ซึ่งทำให้ผู้โจมตีจากภายนอกที่ไม่ผ่านการยืนยันตัวตน สามารถ Bypass ระบบยืนยันตัวตนได้ โดยการส่ง HTTP Requests ที่ถูกสร้างขึ้นมาเป็นพิเศษ ด้วยการแทรก Traversal Sequences เช่น session: "../../tmp/" เข้าไปยังระบบ API ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลระบบที่สำคัญได้ โดยไม่จำเป็นต้องใช้ Credentials ใด ๆ ซึ่งข้อมูลดังกล่าวรวมถึง ไฟล์ Backups การตั้งค่าระบบ, Serial Numbers และรายละเอียดเวอร์ชัน ทั้งนี้ หมายเลข CVE ดังกล่าวไม่เคยมีประวัติการถูกนำมาใช้ในการโจมตีจริงมาก่อน ส่งผลให้การโจมตีที่ตรวจพบในครั้งนี้ ถือเป็นเหตุการณ์ที่เกิดขึ้นเป็นครั้งแรก
CVE-2026-39808: ช่องโหว่ประเภท OS Command Injection (CWE-78) บน API Endpoint ของ FortiSandbox ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถส่งคำสั่งอันตรายเข้าไปรันในระบบด้วยสิทธิ์ระดับ Root ได้ และได้มีการเผยแพร่ PoC ออกสู่สาธารณะตั้งแต่เดือนเมษายน 2026 โดยมีการปรับเปลี่ยนพารามิเตอร์ jid ในรูปแบบ GET Requests ผ่านคำสั่ง Unix ด้วยเครื่องหมาย Pipe ซึ่งในปัจจุบัน ได้มีการตรวจพบ Payloads ที่ใช้ในการโจมตีที่มีความสอดคล้องกับ PoC ดังกล่าว ในการโจมตีจริงแล้ว
CVE-2026-25089 : ช่องโหว่ประเภท OS Command Injection รายการที่สอง (CWE-78) ซึ่งส่งผลกระทบต่อหน้า Web UI ของ FortiSandbox ในเวอร์ชัน 5.0.0 ถึง 5.0.5, เวอร์ชัน 4.4.0 ถึง 4.4.8, เวอร์ชัน 4.2 ทุกเวอร์ชัน รวมถึงระบบที่ใช้งานบน FortiSandbox Cloud และ PaaS และที่สำคัญคือ ยังไม่มีการเปิดเผยวิธีการโจมตีที่ใช้งานได้จริงสำหรับ CVE นี้
ความพยายามในการโจมตีที่ตรวจพบในครั้งนี้ มีลักษณะของการเขียนโค้ดแบบ Vibecoded กล่าวคือ มีแนวโน้มสูงว่าจะเป็นการใช้ AI หรือการประมวลผลแบบ Heuristics เข้าช่วยในการสร้างโค้ดโจมตี ส่งผลให้ Logic ของคำสั่งมีข้อบกพร่อง ซึ่งแสดงให้เห็นว่า ผู้โจมตีกำลังดำเนินการทดลองสุ่มสแกนระบบ โดยที่ยังไม่มี Payload ที่ได้รับการพิสูจน์แล้วว่าสามารถใช้งานได้จริง
เวอร์ชันที่ได้รับผลกระทบ
ช่องโหว่หมายเลข CVE ทั้ง 3 รายการ สามารถถูกโจมตีได้โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน ผ่านการส่ง HTTP Request เพียงครั้งเดียว ซึ่งหมายความว่า Management Interfaces ของ FortiSandbox ที่มีการเปิดเผยสู่สาธารณะ ไม่จำเป็นต้องมีสิทธิ์ในการเข้าถึงระบบล่วงหน้าก็สามารถถูกเจาะระบบได้ทันที
ระบบ FortiSandbox ที่ถูก Compromised สำเร็จ สามารถถูกนำไปปรับเปลี่ยนเป็นเครื่องมือ เพื่ออนุมัติไฟล์อันตรายให้เป็นไฟล์ที่ปลอดภัย ส่งต่อไปยังผลิตภัณฑ์อื่น ๆ ของ Fortinet ที่เชื่อมต่อ และพึ่งพาระบบดังกล่าวอยู่ หรืออาจใช้เป็นจุดเชื่อมโยงเพื่อโจมตี และขยายผลไปยังส่วนอื่น ๆ ภายในเครือข่ายขององค์กร
โดย IP Address ของผู้โจมตีที่ใช้ในการดำเนินการโจมตีอยู่ คือ 141[.]11[.]43[.]175 ซึ่งถูกระบุว่าเป็นของระบบอัตโนมัติ AS136510 ภายใต้บริษัท Streamline Servers Pty Ltd ประเทศสิงคโปร์ และมีคะแนนภัยคุกคามที่ต้องเฝ้าระวังในระดับสูง
Indicators of Compromise (IOCs)
ที่มา : cybersecuritynews
You must be logged in to post a comment.