Fortinet เตือนซ้ำช่องโหว่ใน FortiSIEM หลังพบแฮกเกอร์เริ่มใช้โจมตีจริง
Fortinet ออกประกาศเตือนถึงช่องโหว่ความร้ายแรงสูงบนผลิตภัณฑ์ FortiSIEM ซึ่งเป็นแพลตฟอร์มบริหารจัดการเหตุการณ์ความปลอดภัย (SIEM) ที่ใช้ในองค์กรขนาดใหญ่ โดยช่องโหว่นี้มีรหัส CVE-2025-64155 และได้รับคะแนนความรุนแรงระดับ 9.4–9.8 ทำให้ระบบเสี่ยงต่อการถูกโจมตีจากแฮกเกอร์โดยตรง โดยไม่ต้องผ่านการยืนยันตัวตนใดๆ
ช่องโหว่นี้เกิดจากปัญหา OS Command Injection ภายในบริการหลักของ FortiSIEM ที่ชื่อ phMonitor ซึ่งเปิดพอร์ต TCP 7900 ให้สามารถเข้าถึงได้จากเครือข่าย เมื่อแฮกเกอร์ส่งคำขอ TCP ที่สร้างขึ้นอย่างพิถีพิถัน มันจะทำให้คำสั่งระบบปฏิบัติการถูกประมวลผลโดยไม่ต้องมีสิทธิ์ใดๆ จากนั้นแฮกเกอร์สามารถเขียนไฟล์ลงในระบบได้อย่างอิสระและรันโค้ดที่เป็นอันตรายจนสามารถเข้าควบคุมระบบระดับ root ได้เต็มรูปแบบ
หากถูกโจมตีสำเร็จ อาจทำให้ผู้โจมตีสามารถเข้าดูหรือแก้ไข logs, ปิดการแจ้งเตือน, ขโมยข้อมูล credentials ของระบบอื่นๆ และใช้ระบบ SIEM เป็นฐานเพื่อแพร่กระจายการโจมตีต่อไปในเครือข่ายองค์กรได้ทันที
เมื่อมี Proof-of-Concept (PoC) สำหรับการโจมตีเผยแพร่ออกสู่สาธารณะแล้ว ก็มีรายงานจากทีม Threat Intelligence ว่าแฮกเกอร์ได้เริ่มโจมตีช่องโหว่นี้จริงในระบบที่เปิดเผยต่ออินเทอร์เน็ต โดยพบการโจมตีผ่าน honeypot หลายครั้งจากหลากหลายที่อยู่ IP ซึ่งยืนยันว่าช่องโหว่นี้ไม่ได้เป็นแค่ทฤษฎีแต่ถูกใช้โจมตีจริงแล้วในแวดวงไซเบอร์ โดยเฉพาะในระบบที่ยังไม่ได้ติดตั้งแพตช์ล่าสุด
Fortinet แนะนำให้ผู้ดูแลระบบรีบอัปเดต FortiSIEM ไปยังเวอร์ชันที่มีการแก้ไขช่องโหว่นี้ทันที โดยเวอร์ชันที่แก้ไขแล้ว ได้แก่ 7.4.1 หรือใหม่กว่า, 7.3.5 ขึ้นไป, 7.2.7 ขึ้นไป และ 7.1.9 ขึ้นไป รวมถึง FortiSIEM 6.7.10 ขึ้นไปด้วย หากองค์กรใดไม่สามารถอัปเดตแพตช์ได้ทันที Fortinet แนะนำแนวทางชั่วคราวคือจำกัดการเข้าถึงพอร์ต phMonitor (7900) ให้เฉพาะเครือข่ายภายในที่เชื่อถือได้เท่านั้น เพื่อลดความเสี่ยงจากการถูกโจมตีจากภายนอก