ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์เกี่ยวกับช่องโหว่ระดับร้ายแรงในผลิตภัณฑ์ Fortinet FortiSandbox โดยช่องโหว่นี้เป็นช่องโหว่ประเภท OS Command Injection ในส่วน WEB UI ของ FortiSandbox, FortiSandbox Cloud และ FortiSandbox PaaS อาจเปิดโอกาสให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถส่ง HTTP request ที่ออกแบบมาเป็นพิเศษ เพื่อสั่งรันคำสั่งที่ไม่ได้รับอนุญาตบนระบบที่ได้รับผลกระทบได้ [1]
1. รายละเอียดช่องโหว่
Fortinet ระบุว่า CVE-2026-25089 (CVSS 3.1: 9.8 ) [2] เป็นช่องโหว่ประเภท Improper Neutralization of Special Elements used in an OS Command หรือ OS Command Injection (CWE-78) ในส่วน FortiSandbox WEB UI โดยช่องโหว่นี้เกี่ยวข้องกับการจัดการข้อมูลนำเข้าในรูปแบบ JSON ของฟีเจอร์ start vnc ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีอาจแทรกคำสั่งของระบบปฏิบัติการผ่าน HTTP request ที่ออกแบบมาเฉพาะ และทำให้ระบบประมวลผลคำสั่งดังกล่าวได้โดยไม่จำเป็นต้องมีบัญชีผู้ใช้หรือสิทธิ์ผู้ดูแลระบบ
2. ลักษณะการโจมตี
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่ง HTTP request ที่ออกแบบมาเป็นพิเศษไปยัง FortiSandbox WEB UI ที่ได้รับผลกระทบ หากระบบมีช่องโหว่และสามารถเข้าถึงได้จากเครือข่ายที่ผู้โจมตีเข้าถึงได้ อาจทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่ไม่ได้รับอนุญาตบนระบบได้โดยไม่ต้องผ่านการยืนยันตัวตน
ช่องโหว่ลักษณะ OS Command Injection ถือเป็นความเสี่ยงสำคัญ เนื่องจากอาจนำไปสู่การควบคุมระบบบางส่วนหรือทั้งหมด การแก้ไขค่าการตั้งค่าระบบ การเข้าถึงข้อมูลสำคัญ หรือการใช้ระบบที่ถูกโจมตีเป็นจุดตั้งต้นเพื่อขยายผลไปยังระบบอื่นภายในเครือข่ายองค์กร
3. ผลกระทบ
3.1 ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนอาจสามารถสั่งรันคำสั่งบนระบบ FortiSandbox ที่ได้รับผลกระทบได้
3.2 อาจส่งผลกระทบต่อความลับ ความถูกต้อง และความพร้อมใช้งานของระบบ เนื่องจากช่องโหว่มีผลกระทบต่อ Confidentiality, Integrity และ Availability ในระดับสูง
3.3 อาจถูกใช้เพื่อเข้าถึง แก้ไข หรือลบข้อมูลสำคัญภายในระบบที่เกี่ยวข้องกับการวิเคราะห์ไฟล์หรือมัลแวร์
3.4 อาจทำให้ผู้โจมตีใช้ระบบ FortiSandbox เป็นจุดเริ่มต้นในการขยายผลการโจมตีไปยังระบบอื่นภายในเครือข่าย
3.5 อาจกระทบต่อกระบวนการตรวจจับและวิเคราะห์ภัยคุกคามของหน่วยงาน หากระบบ FortiSandbox ซึ่งเป็นส่วนหนึ่งของโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยถูกโจมตีหรือถูกควบคุม
4. ผลิตภัณฑ์ที่ได้รับผลกระทบ [3], [4]
4.1 FortiSandbox 4.2 ทุกเวอร์ชัน
4.2 FortiSandbox 4.4.0 ถึง 4.4.8
4.3 FortiSandbox 5.0.0 ถึง 5.0.5
4.4 FortiSandbox Cloud 5.0.4 ถึง 5.0.5
4.5 FortiSandbox PaaS 5.0.4 ถึง 5.0.5
5. แนวทางการแก้ไขและป้องกัน
5.1 ผู้ดูแลระบบควรตรวจสอบเวอร์ชันของ FortiSandbox, FortiSandbox Cloud และ FortiSandbox PaaS ที่ใช้งานอยู่ และเร่งอัปเกรดเป็นเวอร์ชันที่ Fortinet แนะนำโดยเร็ว
5.2 จำกัดการเข้าถึง FortiSandbox WEB UI ให้เฉพาะเครือข่ายภายในหรือผู้ดูแลระบบที่ได้รับอนุญาตเท่านั้น และไม่ควรเปิดให้เข้าถึงจากอินเทอร์เน็ตโดยไม่จำเป็น
5.3 ตรวจสอบ Firewall Rule, Access Control List และ VPN Access ที่เกี่ยวข้องกับการเข้าถึงหน้าบริหารจัดการของ FortiSandbox
5.4 ตรวจสอบ Log ของ FortiSandbox และอุปกรณ์เครือข่ายที่เกี่ยวข้อง เพื่อค้นหาพฤติกรรมผิดปกติ เช่น HTTP request ที่มีรูปแบบแปลก หรือการเรียกใช้งาน WEB UI จากแหล่งที่ไม่น่าเชื่อถือ
5.5 ใช้มาตรการควบคุมสิทธิ์ผู้ดูแลระบบตามหลัก Least Privilege และเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ดูแลระบบที่เกี่ยวข้อง
5.6 เฝ้าระวังพฤติกรรมผิดปกติหลังอัปเดตแพตช์ เช่น การเปลี่ยนแปลงไฟล์ระบบ การเชื่อมต่อออกไปยังปลายทางภายนอกที่ไม่รู้จัก หรือการสร้างบัญชีผู้ใช้ที่ไม่ได้รับอนุญาต
5.7 หากพบพฤติกรรมต้องสงสัย ควรแยกระบบที่ได้รับผลกระทบออกจากเครือข่ายชั่วคราว เก็บรักษาหลักฐาน Log ที่เกี่ยวข้อง และดำเนินการตรวจสอบเหตุการณ์ตามกระบวนการ Incident Response ของหน่วยงาน
แหล่งอ้างอิง