เมื่อวันพุธที่ผ่านมา สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ 3 รายการลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยแต่ละรายการส่งผลกระทบต่อ AMI MegaRAC, เราเตอร์ D-Link DIR-859 และ Fortinet FortiOS โดยอ้างอิงจากหลักฐานจากการโจมตีจริง (more…)

Qilin ใช้ช่องโหว่ระดับ Critical ของ Fortinet สองรายการในการโจมตี เพื่อ bypass การยืนยันตัวตน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดย Qilin (หรือ Phantom Mantis) ถูกพบครั้งแรกในเดือนสิงหาคม 2022 ภายใต้ชื่อ "Agenda" และในฐานะ Ransomware-as-a-Service (RaaS) ซึ่งอ้างว่าอยู่เบื้องหลังการโจมตีเหยื่อกว่า 310 รายที่ถูกเปิดเผยบนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลในดาร์กเว็บ

(more…)

ชุดโปรแกรมสำหรับทดสอบการโจมตี (Proof-of-Concept: PoC) สำหรับช่องโหว่ Zero-Day ระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ของ Fortinet หลายรายการ ทำให้เกิดข้อกังวลเร่งด่วนเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายขององค์กร

ช่องโหว่นี้มีหมายเลข CVE-2025-32756 มีคะแนน CVSS ที่ 9.8 โดยทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านช่องโหว่แบบ stack-based buffer overflow

ช่องโหว่นี้อยู่ในกระบวนการประมวลผลพารามิเตอร์คุกกี้ AuthHash ภายใน endpoint /remote/hostcheck_validate ซึ่งพบในผลิตภัณฑ์ของ Fortinet หลายรายการ

(more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายละเอียดของการโจมตีทางไซเบอร์ที่ผิดปกติ ซึ่งใช้มัลแวร์ที่มีการดัดแปลง Headers ของไฟล์ DOS และ PE ตามผลการรายงานล่าสุดจาก Fortinet

(more…)

พบ browser extensions อันตรายกว่า 100 รายการบน Google Chrome Web Store ซึ่งปลอมแปลงเป็น VPNs, AI assistants และ crypto utilities เพื่อขโมย browser cookies และเรียกใช้ scripts จากระยะไกล

(more…)

Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัย เพื่อแก้ไขช่องโหว่ระดับ Critical ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ซึ่งกำลังถูกใช้ในการโจมตีแบบ zero-day ต่อระบบโทรศัพท์องค์กร FortiVoice โดยช่องโหว่นี้เป็นช่องโหว่แบบ stack-based overflow ที่มีหมายเลข CVE-2025-32756 และส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ ของ Fortinet เช่น FortiMail, FortiNDR, FortiRecorder และ FortiCamera ด้วย

จากการแจ้งเตือนด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมา บริษัทระบุว่า การโจมตีที่สำเร็จอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถสั่งให้ระบบประมวลผลคำสั่ง หรือโค้ดตามที่ผู้โจมตีต้องการผ่าน HTTP request ที่ออกแบบมาโดยเฉพาะ

ทีมความปลอดภัยผลิตภัณฑ์ของ Fortinet พบช่องโหว่ CVE-2025-32756 จากการตรวจสอบการดำเนินการของผู้โจมตี ซึ่งรวมถึงการสแกนเครือข่าย, การลบไฟล์ crashlog ของระบบเพื่อลบหลักฐาน และการเปิดฟังก์ชัน 'fcgi debugging' เพื่อบันทึกข้อมูล credentials จากระบบ หรือการพยายามเข้าสู่ระบบผ่าน SSH

จากรายงานคำแนะนำด้านความปลอดภัย ผู้โจมตีใช้ IP address ต่าง ๆ ในการโจมตี รวมถึง 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 และ 218.187.69[.]59

ระหว่างการวิเคราะห์การโจมตี FortiVoice, Fortinet พบ IoCs (Indicators of compromise) ซึ่งรวมถึงการเปิดใช้งานฟังก์ชัน 'fcgi debugging' บนระบบที่ถูกแฮ็ก (โดยปกติฟังก์ชันนี้จะไม่ได้เปิดใช้งาน) หากต้องการตรวจสอบว่าระบบของคุณเปิดใช้งานอยู่หรือไม่ ให้รันคำสั่ง: `diag debug application fcgi` และสังเกตข้อความ `"general to-file ENABLED"`

จากการตรวจสอบการโจมตี Fortinet พบว่าผู้โจมตีได้ดำเนินการโดย ติดตั้งมัลแวร์บนอุปกรณ์ที่ถูกเจาะ, เพิ่ม cron jobs เพื่อขโมยข้อมูล credentials และปล่อยสคริปต์เพื่อสแกนเครือข่ายของเหยื่อ

บริษัทยังได้ให้คำแนะนำเกี่ยวกับการลดความเสี่ยงสำหรับลูกค้าที่ไม่สามารถติดตั้งอัปเดตแพตซ์ด้านความปลอดภัยในวันนี้ได้ทันที โดยแนะนำให้ปิดการใช้งาน HTTP/HTTPS administrative interface บนอุปกรณ์ที่มีช่องโหว่

เมื่อเดือนที่ผ่านมา Shadowserver Foundation พบอุปกรณ์ Fortinet กว่า 16,000 เครื่อง ที่เชื่อมต่ออินเทอร์เน็ตถูกโจมตีโดยใช้ backdoor แบบ symlink ซึ่งยังคงเข้าถึงไฟล์สำคัญได้ แม้อุปกรณ์จะได้รับการแพตช์แล้วจากเหตุการณ์ก่อนหน้า

ในช่วงต้นเดือนเมษายน ยังมีการแจ้งเตือนช่องโหว่ใน FortiSwitch ซึ่งอาจถูกใช้เพื่อเปลี่ยนรหัสผ่านผู้ดูแลระบบจากระยะไกลได้เช่นกัน

ที่มา : bleepingcomputer

Fortinet เปิดเผยช่องโหว่ด้านความปลอดภัยที่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์หลายรายการของ Fortinet โดยช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถ Bypass การยืนยันตัวตน และเข้าถึงระบบด้วยสิทธิ์ของผู้ดูแลระบบได้ (more…)

พบอุปกรณ์ Fortinet ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตกว่า 16,000 รายการ ถูกโจมตีจาก Symlink Backdoor ตัวใหม่ ที่ทำให้สามารถเข้าถึงไฟล์สำคัญแบบ read-only บนอุปกรณ์ที่ถูกโจมตีได้ (more…)

Fortinet ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ FortiSwitch ซึ่งอาจทำให้ผู้โจมตีสามารถเปลี่ยนรหัสผ่านของผู้ดูแลระบบโดยไม่ได้รับอนุญาตได้ (more…)

กลุ่ม Ransomware ใหม่ที่ชื่อว่า 'Mora_001' กำลังใช้ประโยชน์จากช่องโหว่สองรายการใน Fortinet เพื่อเข้าถึงอุปกรณ์ Firewall โดยไม่ได้รับอนุญาต และติดตั้ง ransomware ที่ชื่อว่า SuperBlack (more…)