Fortinet ได้ยืนยันการแก้ไขช่องโหว่ Zero-Day ระดับ critical ใน FortiWeb Web Application Firewall ภายหลังพบว่ากลุ่ม Hacker ได้พยายามโจมตีช่องโหว่ดังกล่าวอย่างต่อเนื่อง

(more…)

ช่องโหว่ Path Traversal ใน Fortinet FortiWeb กำลังถูกนำไปใช้สร้างบัญชีผู้ใช้ระดับผู้ดูแลระบบใหม่บนอุปกรณ์ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยไม่ต้องมีการยืนยันตัวตน

ช่องโหว่นี้ได้รับการแก้ไขแล้วใน FortiWeb 8.0.2 และผู้ดูแลระบบควรอัปเดตโดยเร็วที่สุด และตรวจสอบสัญญาณการเข้าถึงโดยไม่ได้รับอนุญาต

(more…)

พบช่องโหว่ Authentication Bypass ระดับ Critical บน FortiWeb ที่ทำให้ผู้โจมตีจากภายนอก ซึ่งไม่ต้องผ่านการยืนยันตัวตน สามารถปลอมแปลงเป็นผู้ใช้ที่มีอยู่แล้วในระบบที่ได้รับผลกระทบได้

ช่องโหว่นี้มีหมายเลข CVE-2025-52970 โดยมีคะแนน CVSS 7.7 ส่งผลกระทบต่อ FortiWeb หลายเวอร์ชัน สาเหตุมาจากการจัดการพารามิเตอร์ที่ไม่ถูกต้องในกลไก Cookie Parsing

ช่องโหว่ Out-of-Bounds ใน FortiWeb

ช่องโหว่นี้เกิดจาก out-of-bounds read ในโค้ดที่ใช้ประมวลผลคุกกี้ของ FortiWeb ซึ่งเกี่ยวข้องกับการจัดการพารามิเตอร์ที่ไม่เหมาะสม

ในระหว่าง Cookie Parsing ระบบจะใช้พารามิเตอร์ “Era” เพื่อเลือก encryption keys จาก array ในหน่วยความจำที่ใช้ร่วมกัน แต่กลับไม่มีการตรวจสอบความถูกต้องอย่างเหมาะสม

คุกกี้เซสชันของ FortiWeb ประกอบด้วย 3 ส่วน ได้แก่ Era (ตัวระบุประเภทของเซสชัน), Payload (ข้อมูลเซสชันที่ถูกเข้ารหัส รวมถึง username และ role) และ AuthHash (HMAC SHA1 signature)

โดยการจัดการค่าพารามิเตอร์ Era ให้มีค่าระหว่าง 2 ถึง 9 ผู้โจมตีสามารถบังคับให้ระบบอ่านตำแหน่งหน่วยความจำที่ไม่มีการกำหนดค่าเริ่มต้น ซึ่งอาจทำให้ใช้ encryption keys ที่เป็นค่า Null หรือศูนย์

การปรับค่านี้จะลด cryptographic security เป็นศูนย์ได้ เนื่องจากความน่าจะเป็นที่คีย์จะเป็นศูนย์ทั้งหมดจะเปลี่ยนจาก ½^n (ในสถานการณ์ปกติ) ไปเป็น 1 (guaranteed ภายใต้การโจมตีนี้)

นักวิจัย Aviv Y ได้สาธิตช่องโหว่นี้ด้วย Proof-of-Concept ที่มุ่งเป้าไปยัง /api/v2.0/system/status.

พบการเปิดเผยโค้ดการโจมตีแบบ Proof-of-Concept สำหรับช่องโหว่ SQL Injection (SQLi) ที่มีความรุนแรงระดับ Critical ใน Fortinet FortiWeb ซึ่งสามารถถูกนำไปใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) บนเซิร์ฟเวอร์ที่มีช่องโหว่ได้โดยไม่ต้องผ่านการยืนยันตัวตน (pre-authenticated)

FortiWeb คือ Web Application Firewall (WAF) ที่มีหน้าที่ป้องกันเว็บแอปพลิเคชันจาก HTTP traffic ที่เป็นอันตราย และภัยคุกคามต่าง ๆ

ช่องโหว่ดังกล่าวได้รับคะแนนความรุนแรง 9.8/10 และมีหมายเลข CVE-2025-25257 โดย Fortinet ได้ออกแพตช์แก้ไขเมื่อสัปดาห์ที่ผ่านมาใน FortiWeb เวอร์ชัน 7.6.4, 7.4.8, 7.2.11, 7.0.11 และเวอร์ชันที่ใหม่กว่า

Fortinet ระบุว่า "ช่องโหว่ 'SQL Injection' [CWE-89] เกิดจากการจัดการอักขระพิเศษในคำสั่ง SQL ที่ไม่เหมาะสมใน FortiWeb โดยอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ด หรือคำสั่ง SQL ที่ไม่ได้รับอนุญาต ผ่านการ requests แบบ HTTP หรือ HTTPS ที่สร้างขึ้นมาเป็นพิเศษได้"

ช่องโหว่ดังกล่าวถูกพบโดย Kentaro Kawane จากบริษัท GMO Cybersecurity ซึ่งก่อนหน้านี้ก็เป็นผู้เปิดเผยช่องโหว่ hardcoded password ใน Cisco ISE เมื่อเดือนที่ผ่านมา

จากช่องโหว่ SQLi ไปสู่ช่องโหว่ RCE โดยไม่ต้องผ่านการยืนยันตัวตนใน FortiWeb

บริษัทด้านความปลอดภัยทางไซเบอร์ WatchTowr และนักวิจัยที่ชื่อ "faulty *ptrrr" ได้เปิดเผยบทวิเคราะห์ทางเทคนิค และโค้ดสำหรับการโจมตีแบบ proof-of-concept ที่สามารถใช้เปิด reverse shell หรือฝัง web shell บนระบบที่มีช่องโหว่ได้

ช่องโหว่ดังกล่าวถูกพบในส่วน Fabric Connector ของ FortiWeb ซึ่งเป็นซอฟต์แวร์ที่ทำหน้าที่ synchronizes ข้อมูลการยืนยันตัวตน และข้อมูล policy ความปลอดภัยระหว่างผลิตภัณฑ์ต่าง ๆ ของ Fortinet

ในซอฟต์แวร์ดังกล่าวมีช่องโหว่ SQL Injection แบบที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน อยู่ในฟังก์ชัน get_fabric_user_by_token() ซึ่งใช้โค้ดตามด้านล่างในการเรียกใช้คำสั่ง MySQL:

โค้ดดังกล่าว ไม่ได้ตรวจสอบความถูกต้องของค่า "bearer token" ที่ถูกส่งมาใน header ของ HTTP request อย่างเหมาะสม ทำให้ผู้โจมตีสามารถแทรกคำสั่ง SQL ที่ต้องการเข้าไปใน header ได้ เพื่อนำไปสู่การโจมตีแบบ SQL Injection

ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง HTTP request ไปยัง endpoint "/api/fabric/device/status" พร้อมกับแทรกคำสั่ง SQL เข้าไปในส่วนของ Authorization header (เช่น Bearer AAAAAA'or'1'='1) ซึ่งจะทำให้ผู้โจมตีสามารถ bypass ขั้นตอนการยืนยันตัวตนไปได้

นักวิจัยสามารถยกระดับการโจมตีจาก SQL Injection ไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้ โดยใช้ช่องโหว่ SQLi นี้เพื่อเรียกใช้คำสั่ง SELECT … INTO OUTFILE ของ MySQL ที่ทำให้สามารถสร้างไฟล์ใด ๆ ก็ได้บนอุปกรณ์ของเป้าหมาย เทคนิคนี้ทำให้นักวิจัยสามารถเขียนไฟล์ Python ที่มีนามสกุล .pth ลงในไดเรกทอรี site‑packages ได้สำเร็จ

เนื่องจากไฟล์ .pth จะถูกโหลด และเรียกใช้โดยอัตโนมัติทุกครั้งที่ Python เริ่มทำงาน นักวิจัยจึงค้นพบสคริปต์ CGI ที่เป็นของ FortiWeb เอง และเขียนด้วยภาษา Python (/cgi-bin/ml‑draw.

Fortinet บริษัทโซลูชั่นด้านความปลอดภัยทางไซเบอร์ ได้ออกอัปเดตแก้ไขช่องโหว่สำหรับผลิตภัณฑ์ FortiNAC และ FortiWeb โดยระบุถึงช่องโหว่ที่มีความรุนแรงระดับ critical 2 รายการ ซึ่งทำให้สามารถโจมตีเข้ามาโดยหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution (RCE)) (more…)