แฮกเกอร์โจมตีช่องโหว่ Fortinet หลังแพตช์
🚨 แฮกเกอร์เริ่มโจมตีช่องโหว่ Fortinet หลังแพตช์ออกจริง องค์กรต้องระวัง
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ออกมาเตือนว่า ขณะนี้ แฮกเกอร์ได้เริ่มโจมตีช่องโหว่ระดับร้ายแรง (Critical) ในผลิตภัณฑ์ของ Fortinet แล้ว แม้ช่องโหว่ดังกล่าวจะเพิ่งถูกแพตช์ไปเมื่อไม่นานมานี้ ⚠️
การโจมตีนี้มุ่งเป้าไปที่ บัญชีผู้ดูแลระบบ (Admin Account) และสามารถขโมยไฟล์คอนฟิกระบบเครือข่ายได้ ส่งผลกระทบโดยตรงต่อองค์กรที่ใช้ Fortinet ในระบบ Network และ Security ซึ่งหลายบริษัทเริ่มหันมาใช้ IT Outsource หรือบริการดูแลระบบคอมพิวเตอร์ เพื่อรับมือกับความเสี่ยงลักษณะนี้
🔐 รายละเอียดช่องโหว่ Fortinet ที่ถูกใช้โจมตี
Fortinet เปิดเผยช่องโหว่สำคัญ 2 รายการ ซึ่งได้รับการแพตช์เมื่อวันที่ 9 ธันวาคม 2025 แต่แฮกเกอร์เริ่มโจมตีทันทีหลังมีการเปิดเผยรายละเอียด:
◾ CVE-2025-59718 – Authentication Bypass บน FortiOS, FortiProxy และ FortiSwitchManager
◾ CVE-2025-59719 – Authentication Bypass บน FortiWeb
ช่องโหว่เหล่านี้เกิดจากการตรวจสอบ SAML Signature ไม่ถูกต้อง ทำให้ผู้ไม่หวังดีสามารถส่งข้อความ SSO ปลอม และ ข้ามขั้นตอนยืนยันตัวตน (Authentication Bypass) เพื่อเข้าถึงระบบโดยไม่ต้องใช้รหัสผ่านจริง ❌
🕵️♂️ พบการโจมตีจริงในระบบองค์กร
นักวิจัยจากบริษัทความปลอดภัย Arctic Wolf รายงานว่าพบการโจมตีจริงตั้งแต่วันที่ 12 ธันวาคม 2025 โดยแฮกเกอร์สามารถ:
✔️ เข้าสู่ระบบบริหารจัดการ (Admin Panel) ด้วย SSO ปลอม
✔️ ดาวน์โหลดไฟล์ Configuration ผ่าน GUI
✔️ ขโมยข้อมูลโครงสร้างเครือข่ายและนโยบายไฟร์วอลล์
ข้อมูลเหล่านี้อาจถูกนำไปใช้เพื่อโจมตีระบบในระดับที่รุนแรงขึ้นในอนาคต 🚨
💻 ผลกระทบที่องค์กรอาจเผชิญ
หากแฮกเกอร์เข้าถึงไฟล์คอนฟิกระบบได้สำเร็จ จะสามารถ:
-
🔍 วิเคราะห์โครงสร้างเครือข่ายอย่างละเอียด
-
🧨 ค้นหาช่องโหว่เพิ่มเติม
-
🔓 เปิด Backdoor สำหรับโจมตีซ้ำ
-
👤 สร้างบัญชีผู้ใช้แฝงในระบบ
ซึ่งเป็นความเสี่ยงร้ายแรงต่อธุรกิจองค์กรอย่างยิ่ง โดยเฉพาะองค์กรที่ไม่มีทีม IT ดูแลตลอดเวลา
🛠️ แนวทางป้องกันและแก้ไขที่แนะนำ
🔹 อัปเดต Fortinet ทันที
ควรอัปเกรดเป็นเวอร์ชันที่ Fortinet ปล่อยแพตช์แล้ว:
FortiOS: ≥ 7.6.4, 7.4.9, 7.2.12, 7.0.18+
FortiProxy: ≥ 7.6.4, 7.4.11, 7.2.15, 7.0.22+
FortiSwitchManager: ≥ 7.2.7, 7.0.6+
FortiWeb: ≥ 8.0.1, 7.6.5, 7.4.10+
องค์กรที่ไม่มีความพร้อมในการอัปเดต แนะนำให้ปรึกษา บริการดูแลระบบคอมพิวเตอร์ หรือ IT Outsource เพื่อดำเนินการอย่างปลอดภัย 🔐
🔹 ปิด FortiCloud SSO ชั่วคราว
หากยังไม่สามารถอัปเดตได้ทันที ควรปิดฟีเจอร์ FortiCloud Single Sign-On (SSO) ซึ่งอาจถูกเปิดอัตโนมัติหลังลงทะเบียน FortiCare
🔹 ตรวจสอบระบบและเปลี่ยนรหัสผ่าน
-
เปลี่ยนรหัสผ่าน Admin ทันที
-
ตรวจสอบ Log และพฤติกรรมผิดปกติ
-
วิเคราะห์ว่าไฟล์คอนฟิกถูกเข้าถึงหรือไม่
🔹 จำกัดการเข้าถึงระบบบริหารจัดการ
ควรจำกัดการเข้าถึง Firewall, VPN และ Management Interface ให้เฉพาะ IP หรือเครือข่ายที่เชื่อถือได้เท่านั้น 🛡️
📌 บทสรุปสำหรับองค์กร
เหตุการณ์นี้สะท้อนให้เห็นว่า การแพตช์อย่างเดียวไม่เพียงพอ หากขาดการติดตามและตรวจสอบอย่างต่อเนื่อง
การใช้ IT Outsource หรือบริการดูแลระบบคอมพิวเตอร์ จะช่วยให้องค์กร:
-
ตรวจจับภัยคุกคามได้รวดเร็ว
-
ลดความเสี่ยงจากช่องโหว่ใหม่
-
มีผู้เชี่ยวชาญดูแลระบบตลอด 24/7
📎 ที่มา: BleepingComputer