Fortinet เตือนช่องโหว่ FortiOS ข้าม 2FA
🚨 Fortinet เตือนช่องโหว่ FortiOS อายุ 5 ปี ยังถูกใช้โจมตีจริง
Fortinet ออกประกาศเตือนลูกค้าอีกครั้งว่า ช่องโหว่ระดับร้ายแรง (Critical) บน FortiOS ซึ่งถูกค้นพบตั้งแต่กว่า 5 ปีที่แล้ว ยังคงถูกกลุ่มแฮกเกอร์นำมาใช้โจมตีระบบจริงอย่างต่อเนื่อง โดยช่องโหว่นี้เปิดทางให้ ข้ามระบบยืนยันตัวตนสองขั้นตอน (2FA Bypass) บนอุปกรณ์ FortiGate ได้ 😱
🔐 รายละเอียดช่องโหว่ที่ยังไม่ตาย
ช่องโหว่นี้ถูกติดตามในรหัส CVE-2020-12812 เป็นปัญหาการตรวจสอบตัวตนที่ไม่ถูกต้อง (Improper Authentication) บน FortiGate SSL VPN
แฮกเกอร์สามารถเข้าสู่ระบบได้โดย ไม่ต้องผ่านขั้นตอน 2FA (FortiToken) เพียงแค่เปลี่ยนตัวพิมพ์เล็ก–ใหญ่ของชื่อผู้ใช้ (username case change)
📌 เงื่อนไขที่ทำให้เกิดช่องโหว่:
-
เปิดใช้ 2FA ใน
user local -
ใช้การยืนยันตัวตนแบบ remote เช่น LDAP
-
ระบบมีการตรวจสอบตัวพิมพ์เล็ก–ใหญ่ไม่สอดคล้องกันระหว่าง local และ remote authentication
🛠️ Fortinet เคยออกแพตช์แล้ว แต่ยังถูกโจมตี
Fortinet ได้ออกแพตช์แก้ไขตั้งแต่ กรกฎาคม 2020 ในเวอร์ชัน:
-
FortiOS 6.4.1
-
FortiOS 6.2.4
-
FortiOS 6.0.10
พร้อมแนะนำว่า หากยังไม่สามารถอัปเดตได้ทันที ควร ปิดการตรวจสอบตัวพิมพ์เล็ก–ใหญ่ของ username เพื่อลดความเสี่ยงจากการข้าม 2FA
อย่างไรก็ตาม 🚨
Fortinet ยืนยันว่า ยังพบการโจมตีจริงในปัจจุบัน โดยมุ่งเป้าไปที่ FortiGate ที่มีการตั้งค่า LDAP และมีโครงสร้างผู้ใช้ที่เข้าเงื่อนไขช่องโหว่ดังกล่าว
⚠️ การตั้งค่าผิดพลาด คือจุดเสี่ยงหลัก
Fortinet ระบุว่า หนึ่งในสาเหตุสำคัญที่ทำให้ช่องโหว่นี้ยังถูกใช้โจมตี คือ
❗ การตั้งค่า Secondary LDAP Group ที่ไม่จำเป็น
หาก:
-
ไม่จำเป็นต้องใช้ Secondary LDAP Group → ควรลบออก
-
ไม่ได้ใช้ LDAP Group เลย → ผู้ใช้จะไม่สามารถยืนยันตัวตนได้หาก username ไม่ตรงกับ local user
การตั้งค่าที่ซับซ้อนโดยขาดการตรวจสอบ อาจกลายเป็นช่องโหว่ร้ายแรงโดยไม่รู้ตัว ⚠️
🏛️ หน่วยงานรัฐเคยเตือนแล้ว
-
📅 ปี 2021: FBI และ CISA เตือนว่ามีการใช้ช่องโหว่นี้โจมตีจริง
-
📅 พ.ย. 2021: CISA เพิ่ม CVE-2020-12812 ในรายการ Known Exploited Vulnerabilities
-
ใช้ในการโจมตีระดับ Ransomware และการยึดระบบองค์กร
🧩 บทเรียนสำคัญสำหรับองค์กร
ช่องโหว่เก่า ❌ ไม่ได้แปลว่าปลอดภัย
อุปกรณ์ Firewall และ VPN คือด่านหน้า หากไม่อัปเดตหรือกำหนดค่าอย่างถูกต้อง อาจเปิดประตูให้ผู้ไม่หวังดีได้ทันที
👉 องค์กรควร:
-
ตรวจสอบเวอร์ชัน FortiOS อย่างสม่ำเสมอ
-
Audit การตั้งค่า LDAP และ 2FA
-
ติดตาม Threat Intelligence อย่างต่อเนื่อง
สำหรับองค์กรที่ไม่มีทีมดูแลเฉพาะทาง การใช้ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ จะช่วยลดความเสี่ยง ตรวจสอบช่องโหว่ และดูแลระบบความปลอดภัยได้อย่างมืออาชีพ 🔐💼
📌 ที่มา: bleepingcomputer.com