CISA เพิ่มช่องโหว่ 3 รายการเข้าไปยังแค็ตตาล็อก KEV โดยเป็นช่องโหว่ที่ส่งผลกระทบต่อ AMI MegaRAC, D-Link และ Fortinet

เมื่อวันพุธที่ผ่านมา สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ 3 รายการลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยแต่ละรายการส่งผลกระทบต่อ AMI MegaRAC, เราเตอร์ D-Link DIR-859 และ Fortinet FortiOS โดยอ้างอิงจากหลักฐานจากการโจมตีจริง (more…)

ช่องโหว่ระดับ Critical ของ Fortinet ถูกใช้ในการโจมตีด้วยแรนซัมแวร์ Qilin

Qilin ใช้ช่องโหว่ระดับ Critical ของ Fortinet สองรายการในการโจมตี เพื่อ bypass การยืนยันตัวตน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดย Qilin (หรือ Phantom Mantis) ถูกพบครั้งแรกในเดือนสิงหาคม 2022 ภายใต้ชื่อ "Agenda" และในฐานะ Ransomware-as-a-Service (RaaS) ซึ่งอ้างว่าอยู่เบื้องหลังการโจมตีเหยื่อกว่า 310 รายที่ถูกเปิดเผยบนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลในดาร์กเว็บ

(more…)

PoC Exploit ของช่องโหว่ Zero-Day ใน Fortinet ถูกเผยแพร่ออกสู่สาธารณะ เพิ่มความเสี่ยงจากการโจมตีแบบ Remote Code Execution

ชุดโปรแกรมสำหรับทดสอบการโจมตี (Proof-of-Concept: PoC) สำหรับช่องโหว่ Zero-Day ระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ของ Fortinet หลายรายการ ทำให้เกิดข้อกังวลเร่งด่วนเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายขององค์กร

ช่องโหว่นี้มีหมายเลข CVE-2025-32756 มีคะแนน CVSS ที่ 9.8 โดยทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านช่องโหว่แบบ stack-based buffer overflow

ช่องโหว่นี้อยู่ในกระบวนการประมวลผลพารามิเตอร์คุกกี้ AuthHash ภายใน endpoint /remote/hostcheck_validate ซึ่งพบในผลิตภัณฑ์ของ Fortinet หลายรายการ

(more…)

มัลแวร์ Windows RAT ตัวใหม่ สามารถหลบเลี่ยงการตรวจจับได้นานหลายสัปดาห์ โดยใช้ Headers ของไฟล์ DOS และ PE ที่ถูกทำให้เสียหาย

นักวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายละเอียดของการโจมตีทางไซเบอร์ที่ผิดปกติ ซึ่งใช้มัลแวร์ที่มีการดัดแปลง Headers ของไฟล์ DOS และ PE ตามผลการรายงานล่าสุดจาก Fortinet

(more…)

Chrome Extensions ซึ่งปลอมเป็น Fortinet, YouTube, VPN สามารถขโมยข้อมูลของผู้ใช้งานได้

พบ browser extensions อันตรายกว่า 100 รายการบน Google Chrome Web Store ซึ่งปลอมแปลงเป็น VPNs, AI assistants และ crypto utilities เพื่อขโมย browser cookies และเรียกใช้ scripts จากระยะไกล

(more…)

Fortinet ออกแพตช์แก้ไขช่องโหว่ Zero-Day ระดับ Critical ที่กำลังถูกใช้โจมตีระบบ FortiVoice

Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัย เพื่อแก้ไขช่องโหว่ระดับ Critical ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ซึ่งกำลังถูกใช้ในการโจมตีแบบ zero-day ต่อระบบโทรศัพท์องค์กร FortiVoice โดยช่องโหว่นี้เป็นช่องโหว่แบบ stack-based overflow ที่มีหมายเลข CVE-2025-32756 และส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ ของ Fortinet เช่น FortiMail, FortiNDR, FortiRecorder และ FortiCamera ด้วย

จากการแจ้งเตือนด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมา บริษัทระบุว่า การโจมตีที่สำเร็จอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถสั่งให้ระบบประมวลผลคำสั่ง หรือโค้ดตามที่ผู้โจมตีต้องการผ่าน HTTP request ที่ออกแบบมาโดยเฉพาะ

ทีมความปลอดภัยผลิตภัณฑ์ของ Fortinet พบช่องโหว่ CVE-2025-32756 จากการตรวจสอบการดำเนินการของผู้โจมตี ซึ่งรวมถึงการสแกนเครือข่าย, การลบไฟล์ crashlog ของระบบเพื่อลบหลักฐาน และการเปิดฟังก์ชัน 'fcgi debugging' เพื่อบันทึกข้อมูล credentials จากระบบ หรือการพยายามเข้าสู่ระบบผ่าน SSH

จากรายงานคำแนะนำด้านความปลอดภัย ผู้โจมตีใช้ IP address ต่าง ๆ ในการโจมตี รวมถึง 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 และ 218.187.69[.]59

ระหว่างการวิเคราะห์การโจมตี FortiVoice, Fortinet พบ IoCs (Indicators of compromise) ซึ่งรวมถึงการเปิดใช้งานฟังก์ชัน 'fcgi debugging' บนระบบที่ถูกแฮ็ก (โดยปกติฟังก์ชันนี้จะไม่ได้เปิดใช้งาน) หากต้องการตรวจสอบว่าระบบของคุณเปิดใช้งานอยู่หรือไม่ ให้รันคำสั่ง: `diag debug application fcgi` และสังเกตข้อความ `"general to-file ENABLED"`

จากการตรวจสอบการโจมตี Fortinet พบว่าผู้โจมตีได้ดำเนินการโดย ติดตั้งมัลแวร์บนอุปกรณ์ที่ถูกเจาะ, เพิ่ม cron jobs เพื่อขโมยข้อมูล credentials และปล่อยสคริปต์เพื่อสแกนเครือข่ายของเหยื่อ

บริษัทยังได้ให้คำแนะนำเกี่ยวกับการลดความเสี่ยงสำหรับลูกค้าที่ไม่สามารถติดตั้งอัปเดตแพตซ์ด้านความปลอดภัยในวันนี้ได้ทันที โดยแนะนำให้ปิดการใช้งาน HTTP/HTTPS administrative interface บนอุปกรณ์ที่มีช่องโหว่

เมื่อเดือนที่ผ่านมา Shadowserver Foundation พบอุปกรณ์ Fortinet กว่า 16,000 เครื่อง ที่เชื่อมต่ออินเทอร์เน็ตถูกโจมตีโดยใช้ backdoor แบบ symlink ซึ่งยังคงเข้าถึงไฟล์สำคัญได้ แม้อุปกรณ์จะได้รับการแพตช์แล้วจากเหตุการณ์ก่อนหน้า

ในช่วงต้นเดือนเมษายน ยังมีการแจ้งเตือนช่องโหว่ใน FortiSwitch ซึ่งอาจถูกใช้เพื่อเปลี่ยนรหัสผ่านผู้ดูแลระบบจากระยะไกลได้เช่นกัน

ที่มา : bleepingcomputer

ช่องโหว่ Authentication Bypass บน FortiOS ทำให้ผู้ไม่หวังดีสามารถควบคุมอุปกรณ์ได้เต็มรูปแบบ

Fortinet เปิดเผยช่องโหว่ด้านความปลอดภัยที่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์หลายรายการของ Fortinet โดยช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถ Bypass การยืนยันตัวตน และเข้าถึงระบบด้วยสิทธิ์ของผู้ดูแลระบบได้ (more…)

พบอุปกรณ์ Fortinet กว่า 16,000 รายการ ถูกโจมตีจาก Symlink Backdoor

พบอุปกรณ์ Fortinet ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตกว่า 16,000 รายการ ถูกโจมตีจาก Symlink Backdoor ตัวใหม่ ที่ทำให้สามารถเข้าถึงไฟล์สำคัญแบบ read-only บนอุปกรณ์ที่ถูกโจมตีได้ (more…)

Fortinet ออกแพตซ์อัปเดต FortiSwitch เพื่อแก้ไขช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับการเปลี่ยนรหัสผ่านของผู้ดูแลระบบ

Fortinet ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ FortiSwitch ซึ่งอาจทำให้ผู้โจมตีสามารถเปลี่ยนรหัสผ่านของผู้ดูแลระบบโดยไม่ได้รับอนุญาตได้ (more…)

SuperBlack ransomware ตัวใหม่ที่โจมตีผ่านช่องโหว่ auth bypass ของ Fortinet

กลุ่ม Ransomware ใหม่ที่ชื่อว่า 'Mora_001' กำลังใช้ประโยชน์จากช่องโหว่สองรายการใน Fortinet เพื่อเข้าถึงอุปกรณ์ Firewall โดยไม่ได้รับอนุญาต และติดตั้ง ransomware ที่ชื่อว่า SuperBlack (more…)