Fortinet ออกอัปเดตอุดช่องโหว่ร้ายแรงบน FortiWeb แนะนำให้อัปเดตแพตช์ทันที
หลังจากในช่วงไม่กี่วันที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาแจ้งเตือนถึงช่องโหว่การข้ามผ่านการพิสูจน์ตัวตน (Authentication Bypass) ที่มีความรุนแรงบนอุปกรณ์ Fortinet FortiWeb Web Application Firewall (WAF) ซึ่งถูกแฮกเกอร์นำไปใช้โจมตีเพื่อเข้ายึดบัญชีผู้ดูแลระบบและควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ล่าสุด Fortinet ได้ออกอัปเดตแก้ไขมาเรียบร้อยแล้ว แนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันล่าสุดโดยด่วน
ช่องโหว่ที่ถูกค้นพบและนำไปใช้โจมตี
บริษัทรักษาความปลอดภัยไซเบอร์ watchTowr ได้ตรวจพบการโจมตีแบบไม่เลือกเป้าหมายที่กำลังเกิดขึ้นอย่างต่อเนื่อง โดยใช้ประโยชน์จากช่องโหว่ที่ Fortinet ได้แก้ไขแบบเงียบๆ ไปในเวอร์ชัน 8.0.2
ช่องโหว่นี้ (ถูกติดตามในรหัส CVE-2025-64446 ด้วยคะแนนความรุนแรง 9.1) เป็นการผสมผสานระหว่างข้อบกพร่อง 2 อย่าง คือ Path Traversal และ Authentication Bypass ซึ่งทำให้ผู้โจมตีสามารถส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษเพื่อปลอมตัวเป็นผู้ใช้ใดก็ได้ รวมถึงผู้ดูแลระบบ (admin) และสั่งการเพื่อสร้างบัญชีผู้ดูแลระบบใหม่สำหรับใช้เป็นช่องทางในการเข้าถึงระบบในอนาคต
การโจมตีที่เกิดขึ้นจริง
จากการตรวจสอบพบว่าแฮกเกอร์ได้ส่ง Payload ไปยัง Endpoint เฉพาะเพื่อสร้างบัญชีผู้ดูแลระบบใหม่ด้วยชื่อผู้ใช้และรหัสผ่านต่างๆ เช่น “Testpoint”, “trader1”, และ “test1234point” ทาง watchTowr สามารถทำซ้ำการโจมตีและสร้างโค้ดสาธิต (Proof-of-Concept) ได้สำเร็จ และยังได้เปิดเผยเครื่องมือเพื่อช่วยให้องค์กรต่างๆ สามารถตรวจสอบได้ว่าอุปกรณ์ของตนมีช่องโหว่หรือไม่
คำแนะนำและการตอบสนอง
Fortinet ได้ออกมายอมรับและติดตามช่องโหว่นี้แล้ว โดยแนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันล่าสุดโดยด่วน อุปกรณ์ที่ได้รับผลกระทบประกอบด้วย FortiWeb หลายเวอร์ชัน ตั้งแต่ 7.0, 7.2, 7.4, 7.6 ไปจนถึง 8.0 สำหรับการแก้ไขเบื้องต้น แนะนำให้ปิดการเข้าถึงหน้าจัดการผ่าน HTTP หรือ HTTPS จากอินเทอร์เน็ตจนกว่าจะสามารถติดตั้งแพตช์ได้
ทางด้านหน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่นี้เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) ซึ่งบังคับให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องทำการอัปเดตแก้ไขภายในวันที่ 21 พฤศจิกายน 2025 ผู้เชี่ยวชาญย้ำว่าอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์มีความเป็นไปได้สูงที่จะถูกบุกรุกไปแล้ว