291/68 (IT) ประจำวันพฤหัสบดีที่ 14 สิงหาคม 2568
บริษัทรักษาความปลอดภัยทางไซเบอร์ GreyNoise ออกโรงเตือนถึงการโจมตีแบบ brute-force ที่เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยมุ่งเป้าไปที่อุปกรณ์ Fortinet SSL VPN ทั่วโลก การโจมตีครั้งนี้เริ่มขึ้นเมื่อวันที่ 3 สิงหาคม 2025 โดยมีที่อยู่ IP ไม่ซ้ำกันมากกว่า 780 รายการเข้าร่วม และกว่า 56 IP ที่ตรวจพบใน 24 ชั่วโมงที่ผ่านมาล้วนถูกจัดประเภทเป็น IP ที่เป็นอันตราย โดยมีต้นทางมาจากสหรัฐอเมริกา แคนาดา รัสเซีย และเนเธอร์แลนด์ ขณะที่เป้าหมายการโจมตีหลักคือสหรัฐอเมริกา ฮ่องกง บราซิล สเปน และญี่ปุ่น
GreyNoise ระบุว่า การโจมตีครั้งนี้ไม่ใช่การสุ่ม แต่เป็นการพุ่งเป้าไปที่ Fortinet SSL VPN อย่างเจาะจง โดยสามารถแบ่งการโจมตีออกเป็นสองระลอก ระลอกแรกเป็นการโจมตีแบบ brute-force อย่างต่อเนื่องด้วยลายเซ็น TCP แบบเดียว ขณะที่ระลอกที่สองซึ่งเกิดขึ้นหลังวันที่ 5 สิงหาคม เป็นการโจมตีที่รุนแรงและมุ่งเน้นมากขึ้นด้วยลายเซ็น TCP ที่แตกต่างออกไป ที่สำคัญคือในระลอกที่สองนี้ แฮกเกอร์ได้เปลี่ยนเป้าหมายจาก FortiOS ไปยัง FortiManager ซึ่งแสดงให้เห็นถึงการปรับเปลี่ยนพฤติกรรมของกลุ่มผู้โจมตี ที่อาจใช้เครื่องมือชุดเดิมแต่มุ่งเป้าไปที่บริการอื่นของ Fortinet แทน
การวิเคราะห์ข้อมูลย้อนหลังยังพบว่า รูปแบบการโจมตีแบบ brute-force ดังกล่าว มักเกิดขึ้นก่อนที่จะมีการเปิดเผยช่องโหว่ (CVE) ใหม่ที่ส่งผลกระทบต่อเทคโนโลยีเดียวกันภายในหกสัปดาห์ ซึ่งรูปแบบนี้มักพบในเทคโนโลยีระดับองค์กร เช่น VPN, Firewall และเครื่องมือการเข้าถึงระยะไกลต่าง ๆ ที่เป็นเป้าหมายหลักของกลุ่มภัยคุกคามขั้นสูง (Advanced Threat Actors) อยู่เสมอ การค้นพบนี้จึงเป็นสัญญาณเตือนภัยที่สำคัญสำหรับองค์กรที่ใช้ผลิตภัณฑ์ของ Fortinet ให้เพิ่มความระมัดระวังและเฝ้าระวังภัยคุกคามทางไซเบอร์
แหล่งข่าว https://thehackernews.com/2025/08/fortinet-ssl-vpns-hit-by-global-brute.html
