ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนเฝ้าระวังสถานการณ์ภัยคุกคามทางไซเบอร์ มีรายงานการตรวจพบความพยายามโจมตีช่องโหว่รุนแรงหลายรายการบนผลิตภัณฑ์ Fortinet FortiSandbox ซึ่งแม้ผู้พัฒนาจะได้ออกแพตช์แก้ไขแล้ว แต่ยังคงพบการสแกนและพยายามใช้ประโยชน์จากช่องโหว่ดังกล่าวอย่างต่อเนื่อง นอกจากนี้ยังมีรายงานแคมเปญโจมตีในวงกว้างที่มุ่งเป้าไปยังอุปกรณ์ Fortinet ทั่วโลก โดยใช้เทคนิคการโจมตีผ่านบัญชีผู้ใช้งานและรหัสผ่านที่รั่วไหลจากแหล่งข้อมูลอื่น เพื่อเข้าถึงอุปกรณ์เครือข่ายขององค์กรโดยไม่ได้รับอนุญาต [1]
1. รายละเอียดช่องโหว่ FortiSandbox ที่ควรเฝ้าระวัง
1.1 CVE-2026-39813 (CVSS v3.1: 9.8 )
เป็นช่องโหว่ประเภท Path Traversal ใน JRPC API ของ FortiSandbox ซึ่งอาจเปิดโอกาสให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถเข้าถึงทรัพยากรที่ไม่ควรเข้าถึง และอาจนำไปสู่การข้ามกระบวนการยืนยันตัวตนหรือดำเนินการที่ไม่ได้รับอนุญาตบนระบบได้ [2]
1.2 CVE-2026-39808 (CVSS v3.1: 9.8 )
เป็นช่องโหว่ประเภท OS Command Injection ที่เกิดจากการตรวจสอบข้อมูลนำเข้า (Input Validation) ไม่เหมาะสม โดยผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถส่ง HTTP Request ที่ถูกปรับแต่งเป็นพิเศษ เพื่อสั่งรันคำสั่งบนระบบปฏิบัติการของอุปกรณ์ที่ได้รับผลกระทบได้ [3]
1.3 CVE-2026-25089 (CVSS v3.1: 9.8 )
เป็นช่องโหว่ประเภท OS Command Injection ที่เปิดโอกาสให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตน สามารถรันคำสั่งอันตรายบนอุปกรณ์ที่ได้รับผลกระทบได้ โดยนักวิจัยด้านความมั่นคงปลอดภัยพบหลักฐานว่ามีการพัฒนาและเผยแพร่โค้ดสำหรับใช้โจมตีช่องโหว่นี้แล้ว ส่งผลให้ความเสี่ยงในการถูกโจมตีเพิ่มสูงขึ้น [4]
2. การเชื่อมโยงกับช่องโหว่อื่นในผลิตภัณฑ์ Fortinet
นักวิจัยจาก KEVIntel รายงานเพิ่มเติมว่า พบความพยายามขยายผลการโจมตีไปยังช่องโหว่ในผลิตภัณฑ์ FortiClient EMS ได้แก่ CVE-2026-21643 และ CVE-2026-35616 ซึ่ง สดงให้เห็นว่าผู้โจมตีกำลังมุ่งเป้าหมายไปยังผลิตภัณฑ์หลายประเภทในระบบของ Fortinet โดยเฉพาะระบบที่ยังไม่ได้อัปเดตแพตช์ด้านความมั่นคงปลอดภัย
3. เฝ้าระวังแคมเปญโจมตี Credential Stuffing ต่ออุปกรณ์ Fortinet
นอกจากการพยายามใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้ว บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ SOCRadar ยังตรวจพบแคมเปญโจมตีในวงกว้างที่มุ่งเป้าไปยังอุปกรณ์ Fortinet ทั่วโลก โดยผู้โจมตีใช้เทคนิค Credential Stuffing หรือการนำชื่อผู้ใช้งานและรหัสผ่านที่รั่วไหลจากเหตุการณ์ข้อมูลรั่วไหลในอดีต มาทดลองเข้าสู่ระบบอุปกรณ์ Fortinet ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต [5]
4. รูปแบบการโจมตีที่ตรวจพบ
4.1 ผู้โจมตีใช้บัญชีผู้ใช้งานและรหัสผ่านที่ได้จากฐานข้อมูลรั่วไหล เพื่อลองเข้าสู่ระบบอุปกรณ์ Fortinet เช่น Firewalls, SSL VPN และระบบบริหารจัดการต่าง ๆ ที่ตั้งค่าการยืนยันตัวตนไม่รัดกุมหรือไม่มีการใช้งาน Multi-Factor Authentication (MFA)
4.2 เมื่อสามารถเข้าถึงอุปกรณ์ได้สำเร็จ ผู้โจมตีอาจใช้ระบบดังกล่าวเป็นจุดเริ่มต้นในการสำรวจเครือข่ายภายใน รวบรวมข้อมูลบัญชีผู้ใช้งานเพิ่มเติม และขยายผลการโจมตีไปยังระบบอื่นภายในองค์กร
5. ผลิตภัณฑ์ที่ได้รับผลกระทบ
5.1 FortiSandbox เวอร์ชัน 4.4.0 ถึง 4.4.8
5.2 FortiSandbox เวอร์ชัน 5.0.0 ถึง 5.0.5
5.3 FortiSandbox Cloud เวอร์ชัน 5.0.4 ถึง 5.0.5
5.4 FortiSandbox PaaS เวอร์ชัน 5.0.4 ถึง 5.0.5
ทั้งนี้ ผู้ดูแลระบบควรตรวจสอบประกาศจาก Fortinet สำหรับรายละเอียดเวอร์ชันที่ได้รับผลกระทบของแต่ละช่องโหว่ เนื่องจากขอบเขตผลกระทบอาจแตกต่างกันในแต่ละ CVE
6. ข้อเสนอแนะแนวทางการป้องกัน
6.1 ตรวจสอบและอัปเดต FortiSandbox, FortiClient EMS และผลิตภัณฑ์ Fortinet อื่น ๆ ที่ใช้งานอยู่ให้เป็นเวอร์ชันล่าสุดตามคำแนะนำของผู้ผลิตโดยเร็ว
6.2 เปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบและบัญชี VPN ที่มีสิทธิ์สำคัญ พร้อมกำหนดรหัสผ่านที่มีความซับซ้อนและไม่ซ้ำกับบริการอื่น
6.3 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับการเข้าถึงระบบบริหารจัดการ (Management Interface) และการเชื่อมต่อ VPN ทุกกรณี
6.4 ตรวจสอบ Log การเข้าใช้งานย้อนหลัง รวมถึงเฝ้าระวังความพยายามเข้าสู่ระบบที่ผิดปกติ การเข้าสู่ระบบจากต่างประเทศ หรือการพยายามเข้าสู่ระบบซ้ำจำนวนมาก
6.5 จำกัดการเข้าถึงหน้า Management Interface จากอินเทอร์เน็ตสาธารณะ และกำหนดให้สามารถเข้าถึงได้เฉพาะจากเครือข่ายที่เชื่อถือได้เท่านั้น
แหล่งอ้างอิง