Fortinet เตือนภัยช่องโหว่เก่า 5 ปี ถูกแฮกเกอร์ขุดมาใช้ อาศัยช่องว่างทะลวง 2FA บน FortiOS
ล่าสุด Fortinet ยักษ์ใหญ่ด้านความปลอดภัยเครือข่ายได้ออกมาประกาศเตือนถึงการตรวจพบการโจมตีจริงในวงกว้าง โดยมุ่งเป้าไปที่ช่องโหว่ระดับวิกฤตที่มีอายุกว่า 5 ปี ซึ่งเปิดทางให้ผู้ไม่หวังดีสามารถข้ามผ่านระบบการยืนยันตัวตนสองชั้น หรือ 2FA บนอุปกรณ์ FortiGate ได้อย่างง่ายดายเพียงแค่ใช้เทคนิคการสลับตัวอักษรพิมพ์เล็กและพิมพ์ใหญ่ในชื่อผู้ใช้งาน เหตุการณ์นี้ถือเป็นสัญญาณเตือนภัยครั้งสำคัญในช่วงปลายปี 2025 ที่บีบให้ผู้ดูแลระบบต้องเร่งกลับไปตรวจสอบโครงสร้างพื้นฐานของตนเองอีกครั้งว่ายังมีความเสี่ยงแฝงตัวอยู่หรือไม่
กลโกงความต่างของตัวอักษร: เมื่อระบบหลังบ้านทำงานไม่สอดประสานจนเกิดช่องโหว่
ต้นตอของปัญหาครั้งนี้อยู่ที่ช่องโหว่รหัส CVE-2020-12812 ซึ่งเกี่ยวข้องกับการทำงานร่วมกันระหว่าง FortiOS SSL VPN และระบบตรวจสอบสิทธิ์ผ่านโปรโตคอล LDAP โดยปัญหาหลักเกิดขึ้นจากความแตกต่างในการจัดการชื่อผู้ใช้งานที่ FortiGate จะมองว่าชื่อที่มีตัวพิมพ์เล็กและพิมพ์ใหญ่ต่างกันคือคนละคนกัน เช่น Jsmith และ jsmith จะถูกปฏิบัติเป็นคนละบัญชีในระดับ Local User แต่ในทางกลับกัน ระบบ LDAP ซึ่งมักถูกใช้เป็นฐานข้อมูลกลางกลับไม่ได้ให้ความสำคัญกับกรณีของตัวพิมพ์ หรือที่เรียกว่า Case-insensitive เมื่อแฮกเกอร์ป้อนชื่อผู้ใช้งานที่สะกดต่างไปจากที่บันทึกไว้ในระบบ Local ของ FortiGate แม้เพียงตัวเดียว ระบบจะไม่พบเงื่อนไขที่ต้องเรียกใช้งาน 2FA แต่จะส่งการตรวจสอบสิทธิ์ต่อไปยังเซิร์ฟเวอร์ LDAP โดยตรง ซึ่งหากรหัสผ่านถูกต้อง LDAP จะอนุญาตให้เข้าถึงระบบได้ทันทีโดยไม่ต้องผ่านขั้นตอนความปลอดภัยชั้นที่สอง ส่งผลให้มาตรการป้องกันที่องค์กรวางไว้อย่างแน่นหนากลายเป็นหมันไปในพริบตา
สัญญาณการโจมตีจริงและมาตรการรับมือที่ผู้ดูแลระบบต้องเร่งดำเนินการ
สิ่งที่น่ากังวลที่สุดในรายงานครั้งนี้คือทาง Fortinet พบหลักฐานการนำช่องโหว่นี้ไปใช้งานจริงในการโจมตีแบบเจาะจงเป้าหมาย โดยแฮกเกอร์สามารถเข้าถึงสิทธิ์ระดับผู้ดูแลระบบ (Admin) หรือเข้าใช้งาน VPN เพื่อเข้าสู่เครือข่ายภายในขององค์กรได้โดยตรง
Fortinet จึงได้แนะนำให้องค์กรที่ใช้การกำหนดค่าแบบ Local User ควบคู่กับ LDAP และมีการเปิดใช้งาน 2FA ต้องรีบตรวจสอบประวัติการล็อคอินอย่างละเอียด หากพบความผิดปกติของการเข้าใช้งานโดยไม่มีการเรียกถาม 2FA ผู้ดูแลระบบจำเป็นต้องทำการรีเซ็ตบัญชีและรหัสผ่านทั้งหมดทันที
รวมถึงควรรีบติดต่อทีมสนับสนุนเพื่อรับคำแนะนำในการอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดที่มีการปิดช่องโหว่นี้อย่างถาวร เหตุการณ์นี้สะท้อนให้เห็นว่าการรักษาความปลอดภัยที่มีประสิทธิภาพไม่ใช่แค่การติดตั้งเครื่องมือใหม่ๆ แต่คือการหมั่นตรวจสอบความสอดคล้องของระบบการทำงานพื้นฐาน เพื่อปิดช่องว่างที่แฮกเกอร์อาจนำมาใช้เป็นอาวุธในการบุกรุกองค์กรได้ทุกเมื่อ
เหตุการณ์นี้สะท้อนให้เห็นถึงปัญหาเรื้อรังสองด้านที่เกิดขึ้นกับองค์กรทั่วโลก ประการแรกคือกลุ่มที่ “มีสิทธิ์อัปเดตแต่ไม่ทำ” ซึ่งอาจเกิดจากความกลัวว่าการอัปเดตเฟิร์มแวร์จะส่งผลกระทบต่อระบบงานหลัก (Downtime) หรือการขาดกระบวนการทดสอบระบบที่ได้มาตรฐาน
อีกหนึ่งสาเหตุหลักที่มองข้ามไม่ได้คือเรื่องของสัญญาการดูแลรักษาหรือ Maintenance Agreement (MA) ที่หมดอายุลงและไม่ได้มีการต่อสัญญาอย่างต่อเนื่องจนปล่อยให้ช่องโหว่อายุกว่า 5 ปีกลายเป็นสนิมร้ายที่กัดกร่อนความปลอดภัยขององค์กรไปอย่างน่าเสียดาย