Fortinet ได้ยืนยันการแก้ไขช่องโหว่ Zero-Day ระดับ critical ใน FortiWeb Web Application Firewall ภายหลังพบว่ากลุ่ม Hacker ได้พยายามโจมตีช่องโหว่ดังกล่าวอย่างต่อเนื่อง

(more…)

ช่องโหว่ Path Traversal ใน Fortinet FortiWeb กำลังถูกนำไปใช้สร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบใหม่บนอุปกรณ์ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยไม่ต้องมีการยืนยันตัวตน

ช่องโหว่นี้ได้รับการแก้ไขแล้วใน FortiWeb 8.0.2 และผู้ดูแลระบบควรอัปเดตโดยเร็วที่สุด และตรวจสอบสัญญาณการเข้าถึงโดยไม่ได้รับอนุญาต

(more…)

เมื่อช่วงต้นเดือนที่ผ่านมา พบการโจมตีแบบ Brute-force ที่เพิ่มสูงขึ้นอย่างมากมุ่งเป้าไปที่ SSL VPN ของ Fortinet ตามมาด้วยการเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งแสดงถึงการเปลี่ยนเป้าหมายอย่างจงใจที่มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ ๆ ในอดีต

แคมเปญการโจมตีครั้งนี้ถูกตรวจพบโดยแพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise โดยเหตุการณ์เกิดขึ้นเป็นสองระลอกในวันที่ 3 และ 5 สิงหาคมที่ผ่านมา ในระลอกที่สองได้มีการเปลี่ยนเป้าหมายการโจมตีไปที่ FortiManager โดยใช้ TCP signature ที่แตกต่างออกไป

ตามที่ GreyNoise เคยรายงานไว้ก่อนหน้านี้ว่า การเพิ่มขึ้นของการสแกนระบบ และการโจมตีแบบ Brute-force ที่มีเป้าหมายในลักษณะนี้ มักเป็นสัญญาณที่เกิดขึ้นก่อนการเปิดเผยช่องโหว่ความปลอดภัยใหม่ ๆ ถึง 80% ของกรณีทั้งหมด

โดยทั่วไป การสแกนลักษณะนี้มีเป้าหมายเพื่อระบุจำนวน และตำแหน่งของระบบที่เข้าถึงได้จากภายนอก, ประเมินความสำคัญของเป้าหมายเหล่านั้น และคาดการณ์ศักยภาพในการโจมตี ซึ่งหลังจากนั้นไม่นานมักจะตามมาด้วยการโจมตีจริงในเวลาต่อมา

GreyNoise แจ้งเตือนว่า “งานวิจัยล่าสุดแสดงให้เห็นว่า การเพิ่มขึ้นของการโจมตีลักษณะนี้มักเป็นสัญญาณเตือนก่อนจะมีการเปิดเผยช่องโหว่ใหม่ที่กระทบกับผู้จำหน่ายรายเดียวกัน โดยส่วนใหญ่จะเกิดขึ้นภายใน 6 สัปดาห์"

“ในความเป็นจริง GreyNoise พบว่าการเพิ่มขึ้นของกิจกรรมที่ทำให้ tag นี้ มีความเชื่อมโยงอย่างมีนัยสำคัญกับช่องโหว่ที่จะถูกเปิดเผยในอนาคตของผลิตภัณฑ์ Fortinet”

ด้วยเหตุนี้ ผู้ดูแลระบบจึงไม่ควรมองข้ามการโจมตีที่เพิ่มขึ้นเหล่านี้ว่าเป็นเพียงความพยายามที่ล้มเหลวในการโจมตีโดยใช้ประโยชน์จากช่องโหว่เก่าที่ได้รับการแก้ไขแล้ว แต่ควรพิจารณาว่าอาจเป็นสัญญาณเตือนล่วงหน้าของการเปิดเผยช่องโหว่แบบ Zero-day และควรยกระดับมาตรการรักษาความปลอดภัยให้แข็งแกร่งเพิ่มขึ้นเพื่อรับมือกับภัยคุกคาม

การโจมตีแบบ Brute-force ต่อ Fortinet

เมื่อวันที่ 3 สิงหาคม 2025 ทาง GreyNoise ได้ตรวจพบความพยายามในการโจมตีแบบ Brute-force ที่มุ่งเป้าไปยัง Fortinet SSL VPN เพิ่มสูงขึ้นอย่างรวดเร็ว โดยการโจมตีนี้เป็นส่วนหนึ่งของกิจกรรมที่เกิดขึ้นอย่างต่อเนื่องซึ่งทางบริษัทได้เฝ้าระวังมาตั้งแต่ก่อนหน้านี้แล้ว

การวิเคราะห์ fingerprint แบบ JA4+ เป็นวิธีการตรวจจับ network fingerprinting เพื่อระบุ และจำแนกประเภท traffic ที่เข้ารหัส พบว่าการโจมตีที่เพิ่มสูงขึ้นนี้มีความเชื่อมโยงกับกิจกรรมในเดือนมิถุนายน โดยมีต้นทางมาจากอุปกรณ์ FortiGate ที่ใช้ IP address สำหรับที่พักอาศัยซึ่งเกี่ยวข้องกับบริษัท Pilot Fiber Inc.

Fortinet ได้ออกคำเตือนเกี่ยวกับช่องโหว่ Remote Unauthenticated Command Injection ใน FortiSIEM ซึ่งขณะนี้มี exploit code ออกมาแล้ว ทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตความปลอดภัยล่าสุดในทันที

(more…)

เมื่อวันพุธที่ผ่านมา สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ 3 รายการลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยแต่ละรายการส่งผลกระทบต่อ AMI MegaRAC, เราเตอร์ D-Link DIR-859 และ Fortinet FortiOS โดยอ้างอิงจากหลักฐานจากการโจมตีจริง (more…)

Qilin ใช้ช่องโหว่ระดับ Critical ของ Fortinet สองรายการในการโจมตี เพื่อ bypass การยืนยันตัวตน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดย Qilin (หรือ Phantom Mantis) ถูกพบครั้งแรกในเดือนสิงหาคม 2022 ภายใต้ชื่อ "Agenda" และในฐานะ Ransomware-as-a-Service (RaaS) ซึ่งอ้างว่าอยู่เบื้องหลังการโจมตีเหยื่อกว่า 310 รายที่ถูกเปิดเผยบนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลในดาร์กเว็บ

(more…)

ชุดโปรแกรมสำหรับทดสอบการโจมตี (Proof-of-Concept: PoC) สำหรับช่องโหว่ Zero-Day ระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ของ Fortinet หลายรายการ ทำให้เกิดข้อกังวลเร่งด่วนเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายขององค์กร

ช่องโหว่นี้มีหมายเลข CVE-2025-32756 มีคะแนน CVSS ที่ 9.8 โดยทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านช่องโหว่แบบ stack-based buffer overflow

ช่องโหว่นี้อยู่ในกระบวนการประมวลผลพารามิเตอร์คุกกี้ AuthHash ภายใน endpoint /remote/hostcheck_validate ซึ่งพบในผลิตภัณฑ์ของ Fortinet หลายรายการ

(more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายละเอียดของการโจมตีทางไซเบอร์ที่ผิดปกติ ซึ่งใช้มัลแวร์ที่มีการดัดแปลง Headers ของไฟล์ DOS และ PE ตามผลการรายงานล่าสุดจาก Fortinet

(more…)

พบ browser extensions อันตรายกว่า 100 รายการบน Google Chrome Web Store ซึ่งปลอมแปลงเป็น VPNs, AI assistants และ crypto utilities เพื่อขโมย browser cookies และเรียกใช้ scripts จากระยะไกล

(more…)

Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัย เพื่อแก้ไขช่องโหว่ระดับ Critical ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ซึ่งกำลังถูกใช้ในการโจมตีแบบ zero-day ต่อระบบโทรศัพท์องค์กร FortiVoice โดยช่องโหว่นี้เป็นช่องโหว่แบบ stack-based overflow ที่มีหมายเลข CVE-2025-32756 และส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ ของ Fortinet เช่น FortiMail, FortiNDR, FortiRecorder และ FortiCamera ด้วย

จากการแจ้งเตือนด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมา บริษัทระบุว่า การโจมตีที่สำเร็จอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถสั่งให้ระบบประมวลผลคำสั่ง หรือโค้ดตามที่ผู้โจมตีต้องการผ่าน HTTP request ที่ออกแบบมาโดยเฉพาะ

ทีมความปลอดภัยผลิตภัณฑ์ของ Fortinet พบช่องโหว่ CVE-2025-32756 จากการตรวจสอบการดำเนินการของผู้โจมตี ซึ่งรวมถึงการสแกนเครือข่าย, การลบไฟล์ crashlog ของระบบเพื่อลบหลักฐาน และการเปิดฟังก์ชัน 'fcgi debugging' เพื่อบันทึกข้อมูล credentials จากระบบ หรือการพยายามเข้าสู่ระบบผ่าน SSH

จากรายงานคำแนะนำด้านความปลอดภัย ผู้โจมตีใช้ IP address ต่าง ๆ ในการโจมตี รวมถึง 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 และ 218.187.69[.]59

ระหว่างการวิเคราะห์การโจมตี FortiVoice, Fortinet พบ IoCs (Indicators of compromise) ซึ่งรวมถึงการเปิดใช้งานฟังก์ชัน 'fcgi debugging' บนระบบที่ถูกแฮ็ก (โดยปกติฟังก์ชันนี้จะไม่ได้เปิดใช้งาน) หากต้องการตรวจสอบว่าระบบของคุณเปิดใช้งานอยู่หรือไม่ ให้รันคำสั่ง: `diag debug application fcgi` และสังเกตข้อความ `"general to-file ENABLED"`

จากการตรวจสอบการโจมตี Fortinet พบว่าผู้โจมตีได้ดำเนินการโดย ติดตั้งมัลแวร์บนอุปกรณ์ที่ถูกเจาะ, เพิ่ม cron jobs เพื่อขโมยข้อมูล credentials และปล่อยสคริปต์เพื่อสแกนเครือข่ายของเหยื่อ

บริษัทยังได้ให้คำแนะนำเกี่ยวกับการลดความเสี่ยงสำหรับลูกค้าที่ไม่สามารถติดตั้งอัปเดตแพตซ์ด้านความปลอดภัยในวันนี้ได้ทันที โดยแนะนำให้ปิดการใช้งาน HTTP/HTTPS administrative interface บนอุปกรณ์ที่มีช่องโหว่

เมื่อเดือนที่ผ่านมา Shadowserver Foundation พบอุปกรณ์ Fortinet กว่า 16,000 เครื่อง ที่เชื่อมต่ออินเทอร์เน็ตถูกโจมตีโดยใช้ backdoor แบบ symlink ซึ่งยังคงเข้าถึงไฟล์สำคัญได้ แม้อุปกรณ์จะได้รับการแพตช์แล้วจากเหตุการณ์ก่อนหน้า

ในช่วงต้นเดือนเมษายน ยังมีการแจ้งเตือนช่องโหว่ใน FortiSwitch ซึ่งอาจถูกใช้เพื่อเปลี่ยนรหัสผ่านผู้ดูแลระบบจากระยะไกลได้เช่นกัน

ที่มา : bleepingcomputer