Fortinet งานเข้า แฮกเกอร์พบช่องโหว่เจาะ FortiGate ขโมยไฟล์คอนฟิกไฟร์วอลล์องค์กร
นักวิจัยด้านความปลอดภัยพบการโจมตีครั้งใหม่ที่พุ่งเป้าไปที่อุปกรณ์ไฟร์วอลล์ Fortinet FortiGate ซึ่งเป็นหนึ่งในอุปกรณ์ความปลอดภัยเครือข่ายที่ใช้งานมากที่สุด โดยกลุ่มแฮกเกอร์ได้ใช้ช่องโหว่ระบบ Single Sign-On (SSO) เพื่อสร้างบัญชีผู้ดูแลระบบแบบไม่พึงประสงค์ พร้อมทั้งดึงข้อมูลสำคัญอย่าง ไฟล์กำหนดค่าของไฟร์วอลล์ (firewall configs) ออกไปได้ภายในไม่กี่วินาที
รายงานจากบริษัทความมั่นคงปลอดภัย Arctic Wolf ระบุว่าการโจมตีนี้เริ่มขึ้นเมื่อวันที่ 15 มกราคมที่ผ่านมา โดยแฮ็กเกอร์อาศัยช่องโหว่อยู่ในคุณลักษณะ Single Sign-On ของ FortiGate ที่ทำงานร่วมกับ FortiCloud เพื่อเข้าสู่ระบบบริหารจัดการและสร้างบัญชีทั่วไปสำหรับใช้ VPN จากนั้นจึงส่งออกไฟล์กำหนดค่าที่มีข้อมูลสำคัญ เช่น นโยบายความปลอดภัย รายละเอียดการเชื่อมต่อ และแม้แต่ข้อมูลการรับรองตัวตนของผู้ใช้ ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ในการโจมตีขั้นต่อไปได้อย่างรุนแรง
โดยก่อนหน้าทาง Fortinet ได้มีการแจ้งเตือนช่องโหว่ CVE-2025-59718 ในระบบ SSO อาจถูกใช้เพื่อข้ามการตรวจสอบสิทธิ์โดยไม่ได้รับอนุญาต แต่จากเหตุการณ์ล่าสุดพบว่าการป้องกันใน FortiOS เวอร์ชันปัจจุบันอาจยังไม่ครอบคลุมทั้งหมด ทำให้แฮกเกอร์สามารถเจาะระบบที่ควรจะได้รับการอัปเดตแล้วได้เช่นกัน
เพื่อจัดการปัญหานี้ Fortinet อยู่ระหว่างการเตรียมปล่อยอัปเดตใหม่หลายเวอร์ชัน (FortiOS 7.4.11, 7.6.6 และ 8.0.0) เพื่อแก้ไขช่องโหว่อย่างสมบูรณ์ และผู้ดูแลระบบควรรีบอัปเดตอุปกรณ์ทันที รวมถึงพิจารณาปิดการใช้งาน FortiCloud SSO ชั่วคราว เพื่อลดความเสี่ยง