178/68 (IT) ประจำวันศุกร์ที่ 16 พฤษภาคม 2568
Fortinet ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ Zero-day ที่มีความรุนแรงระดับ critical ที่ถูกใช้โจมตีในระบบ FortiVoice Enterprise ซึ่งเป็นระบบโทรศัพท์องค์กร โดยช่องโหว่หมายเลข CVE-2025-32756 เป็นช่องโหว่ประเภท stack-based buffer overflow ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ยืนยันตัวตนสามารถ รันโค้ดหรือคำสั่งอันตรายผ่าน HTTP request ที่ปรับแต่งมาเฉพาะได้ โดยช่องโหว่นี้ยังส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ เช่น FortiMail, FortiNDR, FortiRecorder และ FortiCamera
Fortinet ยืนยันว่าช่องโหว่นี้ถูกใช้โจมตี FortiVoice แล้ว พร้อมเปิดเผยพฤติกรรมของผู้โจมตี เช่น การสแกนเครือข่าย ลบ crash logs และเปิดใช้งานฟีเจอร์ ‘fcgi debugging’ เพื่อดักจับข้อมูลการเข้าสู่ระบบหรือ SSH credentials นอกจากนี้ยังพบว่ามีการติดตั้งมัลแวร์เพิ่มเติมเพื่อขโมยข้อมูล รวมถึงสร้าง cron job และสคริปต์สำหรับสแกนเครือข่ายของเหยื่อ Fortinet ยังได้เผยแพร่ Indicators of Compromise (IOCs) ซึ่งรวมถึง IP ต้นทางของการโจมตี เช่น 198.105.127[.]124, 43.228.217[.]173, 156.236.76[.]90 และพฤติกรรมที่สังเกตได้ เช่น การเปิดใช้งาน fcgi debugging ซึ่งไม่ได้เปิดใช้งานตามค่าปกติ
Fortinet แนะนำให้ผู้ใช้งานดำเนินการอัปเดตเฟิร์มแวร์ของอุปกรณ์ที่ได้รับผลกระทบทันที และในกรณีที่ยังไม่สามารถอัปเดตได้ ควร ปิดการเข้าถึงอินเทอร์เฟซบริหารผ่าน HTTP/HTTPS ชั่วคราวเพื่อลดความเสี่ยง โดยช่องโหว่นี้ถูกค้นพบโดย Fortinet Product Security Team และถือเป็นอีกตัวอย่างหนึ่งของการโจมตีที่อาศัยช่องโหว่ในระดับลึกเพื่อเจาะเข้าสู่โครงสร้างพื้นฐานด้าน IT ขององค์กร
