เตือนองค์กรเร่งอุดช่องโหว่ใน Fortinet EMS หลังพบการโจมตีจริงแล้ว
หน่วยงานด้านความมั่นคงไซเบอร์ของสหรัฐฯ หรือ CISA ออกคำสั่งเร่งด่วนให้หน่วยงานภาครัฐรีบอัปเดตระบบ Fortinet ภายในเส้นตายที่กำหนด หลังพบว่าช่องโหว่ร้ายแรงถูกนำไปใช้โจมตีจริงแล้ว
ช่องโหว่นี้ไม่ได้เป็นเพียงความเสี่ยงเชิงทฤษฎี แต่ถูกยืนยันว่าเป็น “zero-day” ที่แฮกเกอร์สามารถใช้เจาะระบบได้ทันทีโดยไม่ต้องมีข้อมูลล็อกอิน ทำให้กลายเป็นภัยคุกคามระดับสูงที่องค์กรทั่วโลกต้องจับตาอย่างใกล้ชิด
โจมตีแบบไม่ต้องล็อกอิน
ช่องโหว่ดังกล่าวถูกระบุเป็นรหัส CVE-2026-35616 โดยเกิดขึ้นในระบบ FortiClient Enterprise Management Server (EMS) ซึ่งเป็นซอฟต์แวร์ที่องค์กรใช้บริหารจัดการความปลอดภัยของอุปกรณ์ในเครือข่าย
ประเด็นสำคัญคือ ช่องโหว่นี้เป็นลักษณะ “pre-authentication API access bypass” หรือการข้ามขั้นตอนการยืนยันตัวตน ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องล็อกอิน และยังสามารถข้ามกลไกการตรวจสอบสิทธิ์ทั้งหมดได้
เมื่อเข้าถึงได้แล้ว แฮกเกอร์สามารถส่งคำสั่งหรือรันโค้ดอันตรายผ่านคำขอที่ถูกออกแบบมาเป็นพิเศษ ซึ่งเกิดจากปัญหา “การควบคุมสิทธิ์ที่ไม่เหมาะสม” ภายในระบบ
ซึ่งทาง Fortinet ได้ปล่อยแพตช์ฉุกเฉิน (hotfix) ในช่วงสุดสัปดาห์ที่ผ่านมา เพื่อแก้ไขช่องโหว่นี้ โดยระบุว่าปัญหาด้านความปลอดภัยเกิดจากจุดอ่อนในการควบคุมสิทธิ์การเข้าถึง (improper access control) ซึ่งเปิดโอกาสให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถใช้ประโยชน์จากช่องโหว่นี้ เพื่อรันโค้ดหรือสั่งคำสั่งผ่านคำขอที่ถูกออกแบบมาเป็นพิเศษได้
บริษัทยังเตือนเพิ่มเติมว่า ช่องโหว่นี้ถูกนำไปใช้โจมตีจริงในลักษณะ zero-day แล้ว และแนะนำให้ผู้ดูแลระบบ IT เร่งปกป้องระบบ EMS โดยเร็วที่สุด ด้วยการติดตั้ง hotfix หรืออัปเกรดไปใช้ FortiClient EMS เวอร์ชัน 7.4.7 ทันทีที่มีการเปิดให้ใช้งาน
“Fortinet ตรวจพบว่าช่องโหว่นี้ถูกใช้โจมตีจริงแล้ว และขอให้ลูกค้าที่มีความเสี่ยงติดตั้ง hotfix สำหรับ FortiClient EMS เวอร์ชัน 7.4.5 และ 7.4.6 โดยเร็วที่สุด”
CISA สั่งด่วนต้องแพตช์ทันที
จากความรุนแรงของการโจมตี CISA ได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities (KEV) Catalog และออกคำสั่งให้หน่วยงานรัฐบาลกลางเร่งแก้ไขภายในวันที่กำหนดตามข้อบังคับด้านความปลอดภัย
คำสั่งดังกล่าวมีเป้าหมายเพื่อป้องกันไม่ให้ช่องโหว่นี้ถูกใช้เป็นช่องทางเจาะระบบของหน่วยงานรัฐ ซึ่ง CISA ระบุชัดว่าเป็น “เวกเตอร์โจมตีที่พบได้บ่อยและมีความเสี่ยงสูง”
ขณะเดียวกัน Fortinet ได้ออกแพตช์ฉุกเฉินและแนะนำให้ผู้ใช้งานรีบอัปเดตทันที โดยเฉพาะระบบที่ใช้เวอร์ชัน 7.4.5 และ 7.4.6 รวมถึงเตรียมปล่อยเวอร์ชันใหม่เพื่อแก้ปัญหาอย่างถาวร
ที่น่ากังวลคือ มีการตรวจพบเซิร์ฟเวอร์ FortiClient EMS ที่เปิดใช้งานบนอินเทอร์เน็ตนับพันเครื่อง ซึ่งอาจกลายเป็นเป้าหมายของการโจมตีได้หากยังไม่ได้อัปเดต