เตือนภัย FortiBleed ลามหนัก! กระทบ FortiGate กว่า 86,000 เครื่องทั่วโลก ไทยติดกลุ่มประเทศเสี่ยงสูง
หน่วยงานความมั่นคงไซเบอร์สหรัฐฯ ออกประกาศเตือนผู้ใช้อุปกรณ์ Fortinet ให้เร่งตรวจสอบและเพิ่มมาตรการป้องกันอุปกรณ์ FortiGate หลังพบการโจมตีขนาดใหญ่ที่กำลังเกิดขึ้นทั่วโลก ภายใต้ชื่อปฏิบัติการ “FortiBleed” ซึ่งส่งผลให้อุปกรณ์ FortiGate ถูกเจาะแล้วอย่างน้อย 86,644 เครื่อง ณ วันที่ 19 มิถุนายน 2026
นักวิจัยเชื่อว่าปฏิบัติการดังกล่าวเป็นฝีมือของกลุ่มผู้โจมตีสัญชาติรัสเซีย โดยมุ่งเป้าไปยังอุปกรณ์ FortiGate ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต ไม่ว่าจะเป็นไฟร์วอลล์หรือเกตเวย์ VPN ขององค์กร
ไทยติดกลุ่มประเทศได้รับผลกระทบสูง
ข้อมูลจากบริษัทวิเคราะห์ภัยคุกคาม SOCRadar ระบุว่า กลุ่มอุตสาหกรรมที่ได้รับผลกระทบมากที่สุด ได้แก่ ภาคโทรคมนาคม หน่วยงานภาครัฐ และสถาบันการศึกษา
ในด้านภูมิศาสตร์ พบการรั่วไหลของบัญชีผู้ใช้จำนวนมากในหลายประเทศ โดยอินเดีย สหรัฐอเมริกา เม็กซิโก โคลอมเบีย และประเทศไทย เป็นประเทศที่มีจำนวนอุปกรณ์ที่ได้รับผลกระทบสูงที่สุด
สิ่งที่น่ากังวลคือ บัญชีที่ถูกนำมาใช้เจาะระบบส่วนใหญ่ไม่ใช่การแฮกรหัสผ่านใหม่ แต่เป็นบัญชีที่มีอยู่แล้ว โดยกว่า 35% เป็นบัญชีผู้ดูแลระบบแบบค่าเริ่มต้น (Default Admin Account) และอีก 28.3% เป็นบัญชีระบบที่มากับอุปกรณ์จากโรงงาน ขณะที่ 36.7% เป็นบัญชีที่องค์กรสร้างขึ้นเอง
นักวิเคราะห์มองว่าข้อมูลดังกล่าวสะท้อนปัญหาสำคัญ คือหลายองค์กรยังคงใช้บัญชีหรือรหัสผ่านเดิมจากโรงงาน หรือไม่เปลี่ยนรหัสผ่านหลังเกิดเหตุข้อมูลรั่วไหล ทำให้ผู้โจมตีสามารถนำข้อมูลเหล่านั้นกลับมาใช้ได้อีก
กลยุทธ์โจมตีแบบอัตโนมัติ ขยายวงได้เอง
รายงานระบุว่าผู้โจมตีได้สแกนอินเทอร์เน็ตเพื่อค้นหาอุปกรณ์ Fortinet ที่เปิดช่องทางล็อกอินจากภายนอก จากนั้นใช้เครื่องมือเฉพาะทางลองเข้าสู่ระบบด้วยชุดชื่อผู้ใช้และรหัสผ่านที่เคยรั่วไหลมาก่อน
การโจมตีถูกออกแบบให้ทำงานแบบอัตโนมัติทั้งหมด โดยมีขั้นตอนหลักเพียงสองส่วน โดยขั้นแรก ผู้โจมตีจะนำฐานข้อมูลรหัสผ่าน Fortinet ที่เคยหลุดออกสู่สาธารณะมาทดลองกับอุปกรณ์ทั่วโลก
เมื่อสามารถเข้าถึงอุปกรณ์ได้แล้ว จะเฝ้าสังเกตข้อมูลเครือข่ายที่ไหลผ่านอุปกรณ์เหล่านั้นอย่างเงียบ ๆ เพื่อเก็บข้อมูลบัญชีผู้ใช้เพิ่มเติม ก่อนนำข้อมูลใหม่ที่ได้ไปใช้เจาะระบบอื่นต่อไป
ทุกบัญชีที่ถูกเก็บรวบรวมจะถูกตรวจสอบก่อนว่าใช้งานได้จริง แล้วจึงถูกเพิ่มเข้าสู่ฐานข้อมูลกลางของกลุ่มผู้โจมตี ทำให้ฐานข้อมูลดังกล่าวมีความแม่นยำและพร้อมนำไปใช้โจมตีองค์กรขนาดใหญ่ทั่วโลกได้ทันที
บริษัทวิจัยด้านความปลอดภัย Hudson Rock ระบุว่าเหตุการณ์ครั้งนี้ส่งผลกระทบเกือบทุกภาคส่วนของเศรษฐกิจโลก และผู้โจมตีได้สร้างฐานข้อมูลบัญชีล็อกอินที่ใช้งานได้จริงขององค์กรขนาดใหญ่จำนวนมาก
ช่องโหว่ไม่ได้อยู่ที่ระบบใหม่ แต่อยู่ที่รหัสผ่านเก่า
ผู้เชี่ยวชาญเชื่อว่าความสำเร็จของ FortiBleed อาจเกี่ยวข้องกับวิธีการจัดเก็บรหัสผ่านใน FortiGate รุ่นเก่า
ก่อนหน้านี้ Fortinet ใช้การจัดเก็บรหัสผ่านผู้ดูแลระบบด้วยอัลกอริทึม SHA-256 แต่ใน FortiOS เวอร์ชันใหม่ ได้แก่ 7.2.11, 7.4.8 และ 7.6.1 ได้เปลี่ยนไปใช้ PBKDF2 (Password-Based Key Derivation Function 2) ซึ่งมีความปลอดภัยสูงกว่าและต้านทานการถอดรหัสได้ดีกว่า
อย่างไรก็ตาม มีประเด็นสำคัญคือ หากองค์กรอัปเกรดระบบจากเวอร์ชันเก่า รหัสผ่านเดิมจะยังคงถูกเก็บในรูปแบบ SHA-256 ต่อไป จนกว่าผู้ดูแลระบบจะเข้าสู่ระบบอีกครั้งหลังการอัปเกรด
นั่นหมายความว่าแม้องค์กรจะอัปเดตซอฟต์แวร์แล้ว แต่หากไม่ได้เปลี่ยนหรือรีเซ็ตรหัสผ่าน รหัสผ่านจำนวนมากอาจยังถูกเก็บด้วยวิธีเดิมที่มีความปลอดภัยต่ำกว่า
CISA แนะองค์กรเร่งดำเนินการทันที
เพื่อป้องกันความเสี่ยงจาก FortiBleed ทาง CISA แนะนำให้องค์กรดำเนินการหลายมาตรการโดยเร็ว ได้แก่ การยกเลิกเซสชัน VPN และเซสชันผู้ดูแลระบบที่กำลังใช้งานอยู่ทั้งหมด รีเซ็ตรหัสผ่านของ VPN และบัญชีผู้ดูแลระบบ โดยเฉพาะระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
นอกจากนี้ควรตรวจสอบให้แน่ใจว่าอุปกรณ์ใช้การจัดเก็บรหัสผ่านด้วย PBKDF2 เปิดใช้งานการยืนยันตัวตนหลายขั้นตอน (MFA) ตรวจสอบบันทึกการใช้งานของไฟร์วอลล์ VPN และระบบยืนยันตัวตน รวมถึงลดการเปิดเผยระบบบริหารจัดการต่ออินเทอร์เน็ตให้น้อยที่สุด
ด้าน Fortinet ออกแถลงการณ์ว่า ข้อมูลที่ถูกเผยแพร่อาจเป็นการนำข้อมูลจากเหตุการณ์เก่าและข้อมูลรหัสผ่านที่ถูกเดาสุ่มหรือรวบรวมจากแหล่งอื่นกลับมาเผยแพร่ซ้ำ ไม่ได้เกี่ยวข้องกับช่องโหว่ใหม่ของผลิตภัณฑ์ในปัจจุบัน พร้อมย้ำให้องค์กรปฏิบัติตามแนวทางความปลอดภัยพื้นฐาน เช่น การเปลี่ยนรหัสผ่านเป็นประจำ และเปิดใช้งาน MFA