เตือนภัยช่องโหว่ของอุปกรณ์ FortiGate กำลังตกเป็นเป้าหมายในการเจาะเครือข่ายและขโมยข้อมูลสำคัญ

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ พบรายงานเกี่ยวกับแคมเปญการโจมตีที่มุ่งเป้าไปที่อุปกรณ์ FortiGate Next-Generation Firewall (NGFW) เพื่อใช้เป็นช่องทางในการลักลอบเข้าสู่เครือข่ายภายในขององค์กร [1]
จากรายงานของ SentinelOne ระบุว่า ภาคส่วนที่ตกเป็นเป้าหมายหลักในขณะนี้ ได้แก่ หน่วยงานด้านสาธารณสุข หน่วยงานภาครัฐ และผู้ให้บริการจัดการระบบ (Managed Service Providers - MSPs) [2]

1. ลักษณะและพฤติการณ์ของการโจมตี
   กลุ่มผู้โจมตีอาศัยช่องโหว่ด้านความปลอดภัยระดับวิกฤตที่เพิ่งได้รับการเปิดเผย ตลอดจนการใช้ข้อมูลบัญชีที่คาดเดาง่าย เพื่อทำการเจาะเข้าสู่อุปกรณ์ FortiGate โดยช่องโหว่ที่เกี่ยวข้องมีดังนี้:
   • CVE-2025-59718 (CVSS V3.1:9.8) [3]
   • CVE-2025-59719 (CVSS V3.1:9.8) [4] [5]
   • CVE-2026-24858 (CVSS V3.1:9.8) [6] [7]
   เป้าหมายสำคัญคือการดึงไฟล์การกำหนดค่า (Configuration files) ซึ่งมีการจัดเก็บข้อมูลบัญชีบริการ (Service Account) ที่ใช้สำหรับเชื่อมต่อกับระบบ Active Directory (AD) และ Lightweight Directory Access Protocol (LDAP)
   เมื่อผู้โจมตีได้รับข้อมูลดังกล่าว จะสามารถดำเนินการเข้าถึงสิทธิต่างๆ ได้ดังนี้:
   1.1 สร้าง บัญชีผู้ดูแลระบบภายใน (Local Administrator) ใหม่ โดยใช้ชื่อหลอกตาเช่น "support" เพื่อใช้เป็นช่องทางเข้าออกระบบได้อย่างอิสระโดยไม่มีข้อจำกัด
   1.2 แฝงตัว ในลักษณะนายหน้าจัดหาช่องทางเข้าถึง (Initial Access Broker - IAB) เพื่อรักษาสถานะในระบบและนำสิทธิ์การเข้าถึงนี้ไปแสวงหาผลประโยชน์ทางการเงิน
   1.3 ติดตั้ง เครื่องมือควบคุมระยะไกล (เช่น Pulseway หรือ MeshAgent) เพื่อขโมยฐานข้อมูลสำคัญของระบบ (NTDS.dit) และ Registry Hive ส่งออกไปยังเซิร์ฟเวอร์ภายนอก

2. แนวทางปฏิบัติเพื่อรับมือและป้องกัน
   2.1 ตรวจสอบการตั้งค่าของอุปกรณ์ FortiGate ในระบบอย่างละเอียด โดยเฉพาะบัญชีผู้ดูแลระบบที่อาจถูกสร้างขึ้นมาใหม่โดยไม่ทราบสาเหตุ และนโยบายไฟร์วอลล์ที่มีการอนุญาตสิทธิ์ข้ามโซนเครือข่ายที่ผิดปกติ
   2.2 อัปเดตระบบปฏิบัติการ เฟิร์มแวร์ และแพตช์ความปลอดภัยของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดโดยทันที เพื่อ ปิดกั้น ช่องโหว่ที่อาจถูกนำมาใช้เป็นช่องทางในการโจมตี
   2.3 เฝ้าระวังการบันทึกเหตุการณ์ (Logs) อย่างใกล้ชิด ทั้งการเข้าใช้งานระบบ AD การสแกนเครือข่าย การเชื่อมต่อไปยังไอพีภายนอกที่น่าสงสัย (เช่น ผ่านพอร์ต 443) รวมถึงการติดตั้งซอฟต์แวร์ Remote Access ที่ไม่ได้รับอนุญาต
   2.4 เปลี่ยนรหัสผ่านของบัญชีบริการ (Service Account) ทั้งหมดทันที หากพบว่าอุปกรณ์ในเครือข่ายเคยมีช่องโหว่ หรือมีข้อบ่งชี้ว่าไฟล์การกำหนดค่าอาจถูกนำออกไปจากระบบ
   2.5 จำกัดการเข้าถึงหน้าการจัดการ (Management Interface) ของอุปกรณ์ โดย ปิด การเข้าถึงจากอินเทอร์เน็ตสาธารณะ (WAN) และ อนุญาต เฉพาะ IP Address ของผู้ดูแลระบบที่เชื่อถือได้เท่านั้น (Workaround เบื้องต้น)
   2.6 ระงับการใช้งานฟีเจอร์ที่เกี่ยวข้องกับช่องโหว่เป็นการชั่วคราว (Workaround) เช่น การ ปิด ระบบ FortiCloud SSO ในกรณีที่องค์กรยังไม่สามารถดำเนินการอัปเดตแพตช์ความปลอดภัยได้ทันที เพื่อ ลด ความเสี่ยงในการถูกลักลอบเข้าถึง
   อุปกรณ์ไฟร์วอลล์เปรียบเสมือนปราการด่านแรกของเครือข่าย การบริหารจัดการความเสี่ยงและอุดช่องโหว่อย่างทันท่วงที จะช่วยป้องกันความเสียหายที่อาจส่งผลกระทบในระดับโครงสร้างขององค์กรได้

แหล่งอ้างอิง
[1] https://dg.th/uvjklgarb1
[2] https://dg.th/0bi79ackmv
[3] https://dg.th/skdrzw9mav
[4] https://dg.th/vnecb1rtha
[5] https://dg.th/drpaf341u8
[6] https://dg.th/jqzaf06vbg
[7] https://dg.th/w2cxrbvk68

#CyberSecurity #FortiGate #InfoSec #CyberThreat #NetworkSecurity #Vulnerability #CyberOperations #การรักษาความมั่นคงปลอดภัยทางไซเบอร์