<![CDATA[ช่องโหว่สำคัญใน FortiOS และ FortiProxy]]>Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับ Fortinet ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การหลีกเลี่ยงการตรวจสอบสิทธิ์ที่สำคัญ หมายเลขช่องโหว่ CVE-2024-55591 ที่ส่งผลกระทบต่อผลิตภัณฑ์ FortiOS และ FortiProxy มีรายงานว่าช่องโหว่ดังกล่าวถูกใช้ประโยชน์อย่างแพร่หลาย

หากการโจมตีช่องโหว่นี้ประสบความสำเร็จ ผู้โจมตีอาจสามารถเข้าถึงสิทธิ์ Super-Admin ได้โดยการส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษไปยังโมดูล Node.js WebSocket

  • ตัวบ่งชี้ของการถูกโจมตี (Indicators of Compromise - IOCs)
    Fortinet ได้ให้ข้อมูลบันทึก (log entries) และที่อยู่ IP บางส่วนซึ่งอาจเป็น IOCs ที่เกี่ยวข้อง ผู้ดูแลระบบควรตรวจสอบบันทึกของระบบเพื่อตรวจหาสัญญาณของ IOCs เช่น บัญชีผู้ดูแลระบบที่ไม่ได้รับอนุญาต การเปลี่ยนแปลงการตั้งค่าที่ไม่รู้จัก หรือการเชื่อมต่อ SSL VPN ที่น่าสงสัย

Log Entries:

  • type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"
  • type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

หมายเหตุ: Fortinet ได้แนะนำว่า sn และ cfgtid ไม่เกี่ยวข้องกับการโจมตีนี้

IP Addresses:

  • 45.55.158.47 (most common)
  • 87.249.138.47
  • 155.133.4.175
  • 37.19.196.65
  • 149.22.94.37
    ช่องโหว่นี้ส่งผลกระทบต่อผลิตภัณฑ์ดังต่อไปนี้:
  • FortiOS versions 7.0.0 through 7.0.16
  • FortiProxy versions 7.0.0 through 7.0.19
  • FortiProxy versions 7.2.0 through 7.2.12

ผู้ใช้งานและผู้ดูแลระบบของเวอร์ชันผลิตภัณฑ์ที่ได้รับผลกระทบควรอัปเดตเป็นเวอร์ชันล่าสุดทันที นอกจากนี้ แนะนำให้ผู้ใช้งานดำเนินการมาตรการป้องกันต่อไปนี้ใน
กรณีที่ไม่สามารถอัปเดตได้ทันที

  • ปิดการใช้งานอินเทอร์เฟซการจัดการ HTTP/HTTPS เพื่อลดความเสี่ยงในการถูกโจมตี
  • จำกัดการเข้าถึงผ่านนโยบาย local-in โดยอนุญาตเฉพาะการเข้าถึงของผู้ดูแลระบบจาก IP ที่เชื่อถือได้เท่านั้น

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2025/al-2025-004

d8c4cbcb-abb9-4ba5-92a1-88c53cf9c239-image.png สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

]]>https://webboard-nsoc.ncsa.or.th/topic/1599/ช-องโหว-สำค-ญใน-fortios-และ-fortiproxyRSS for NodeWed, 17 Jun 2026 10:22:43 GMTThu, 16 Jan 2025 09:47:29 GMT60