ผู้โจมตีใช้ช่องโหว่สามรายการใน FortiSandbox ของ Fortinet – แพตช์หนึ่งได้รับการแก้ไขแล้ว

ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่สามรายการในผลิตภัณฑ์ Fortinet FortiSandbox ซึ่งหนึ่งในช่องโหว่ดังกล่าวได้รับการแก้ไขเป็นที่เรียบร้อยแล้วตามรายงานของบริษัทด้านข่าวกรองภัยคุกคาม Defused Cyber การใช้ช่องโหว่เหล่านี้ต่อเนื่องในช่วง 24 ชั่วโมงที่ผ่านมาแสดงให้เห็นถึงความเร่งด่วนในการอัปเดตและเสริมความปลอดภัยให้กับระบบ sandbox ที่องค์กรหลายแห่งพึ่งพา

Overview

FortiSandbox ของ Fortinet เป็นแพลตฟอร์มการวิเคราะห์มัลแวร์แบบ sandbox ที่มักถูกใช้ในองค์กรขนาดใหญ่เพื่อแยกและตรวจสอบไฟล์หรือโค้ดที่อาจเป็นอันตราย ก่อนนำเข้ามาใช้งานในเครือข่ายภายใน รายงานของ Defused Cyber ระบุว่ามีการตรวจพบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ สามรายการ ในผลิตภัณฑ์เดียวกัน ภายในระยะเวลาสั้น ๆ นี้ ทำให้ผู้ดูแลระบบต้องเร่งตรวจสอบและอัปเดตเครื่องมือความปลอดภัยของตนโดยทันที

การที่ช่องโหว่หลายรายการถูกโจมตีพร้อมกันเป็นสัญญาณเตือนว่าผู้โจมตีอาจมีการพัฒนาเครื่องมืออัตโนมัติที่สามารถสแกนและใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ security‑critical ได้อย่างรวดเร็ว ความเสี่ยงต่อการละเมิดข้อมูลหรือการแทรกซึมของมัลแวร์ในระบบเครือข่ายจึงสูงขึ้นอย่างชัดเจน

Vulnerabilities Details

ช่องโหว่ที่ได้รับการเปิดเผยโดย Defused Cyber มีรายละเอียดดังนี้

• CVE‑2026‑39813 – มีคะแนน CVSS 9.1 เป็นระดับวิกฤติ ชี้ให้เห็นถึง path traversal ใน JRPC API ของ FortiSandbox ซึ่งอาจทำให้ผู้โจมตีเข้าถึงไฟล์ระบบหรือข้อมูลที่ไม่ได้รับอนุญาตได้
• CVE‑2026‑39808 – รายละเอียดเชิงเทคนิคยังไม่ได้รับการเปิดเผยอย่างครบถ้วนในแหล่งข่าว แต่บ่งชี้ว่ามีความเกี่ยวข้องกับการจัดการอินพุตในส่วนของ API ซึ่งอาจทำให้เกิดการดำเนินการโดยไม่ได้รับการตรวจสอบ
• CVE‑2026‑25089 – แม้ไม่มีข้อมูลคะแนน CVSS อย่างเป็นทางการ แต่บริษัทด้านความปลอดภัยระบุว่าเป็นช่องโหว่ที่อาจนำไปสู่การละเมิดความเป็นส่วนตัวของข้อมูลที่จัดเก็บใน sandbox

ตามที่ Fortinet แจ้งไว้ ช่องโหว่ CVE‑2026‑39813 ได้รับการแก้ไขและปล่อยแพตช์ออกไปเมื่อสัปดาห์ที่ผ่านมา ส่วนสองช่องโหว่อื่น ๆ ยังอยู่ในขั้นตอนการประเมินและจะมีการอัปเดตเมื่อมีการพัฒนาแพตช์ที่เหมาะสม

Exploitation Activity

Defused Cyber เฝ้าติดตามกิจกรรมบนแพลตฟอร์ม X (Twitter) และพบว่ามีการสังเกตการโจมตีที่ใช้ประโยชน์จากช่องโหว่ทั้งสามอย่างต่อเนื่องในช่วง 24 ชั่วโมงล่าสุด การใช้ช่องโหว่เหล่านี้มักมาพร้อมกับเทคนิค file‑less หรือการเรียกใช้โค้ดจากระยะไกลโดยไม่ต้องอัปโหลดไฟล์ที่เป็นอันตรายโดยตรง ทำให้การตรวจจับโดยระบบป้องกันแบบดั้งเดิมมีความยากลำบาก

นอกจากนี้ การโจมตีที่พบยังแสดงให้เห็นว่าผู้โจมตีสามารถสร้าง web shell หรือเปิดพอร์ตที่ไม่ได้รับอนุญาตบนเซิร์ฟเวอร์ FortiSandbox ได้ ซึ่งอาจนำไปสู่การควบคุมระบบโดยผู้ไม่ประสงค์ดีอย่างเต็มรูปแบบ

Patch and Mitigation

Fortinet ได้ออก แพตช์ สำหรับ CVE‑2026‑39813 แล้ว และแนะนำให้ผู้ใช้ติดตั้งอัปเดตเวอร์ชันล่าสุดโดยเร็วที่สุด สำหรับ CVE‑2026‑39808 และ CVE‑2026‑25089 บริษัทกำลังอยู่ในขั้นตอนการพัฒนาแพตช์และขอให้ผู้ดูแลระบบทำตามขั้นตอนป้องกันชั่วคราวดังต่อไปนี้

• ปิดการเข้าถึง JRPC API จากเครือข่ายภายนอกโดยใช้ firewall หรือ ACL ที่เหมาะสม
• ตรวจสอบและจำกัดสิทธิ์การเข้าถึงไฟล์ระบบบน FortiSandbox ให้เฉพาะผู้ดูแลที่จำเป็นเท่านั้น
• ใช้ระบบตรวจจับการบุกรุก (IDS/IPS) เพื่อตรวจสอบพฤติกรรมที่อาจบ่งบอกถึงการใช้ช่องโหว่ดังกล่าว

การดำเนินการตามแนวทางเหล่านี้จะช่วยลดโอกาสที่ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ที่ยังไม่ได้รับการแก้ไขในระยะสั้น

Impact and Recommendations

การโจมตีที่ใช้ FortiSandbox เป็นเป้าหมายอาจทำให้องค์กรสูญเสียความเชื่อมั่นในระบบการตรวจจับและป้องกันมัลแวร์ ซึ่งเป็นหัวใจของโครงสร้างความปลอดภัยไซเบอร์ หากระบบ sandbox ถูกละเมิด ข้อมูลสำคัญหรือไฟล์ที่ผ่านการวิเคราะห์อาจถูกดัดแปลงและกระจายต่อไปได้

เพื่อบรรเทาผลกระทบ ผู้ดูแลระบบควรทำการตรวจสอบ log ของ FortiSandbox อย่างสม่ำเสมอ ตรวจสอบกิจกรรมที่ผิดปกติใน JRPC API และทำการประเมินความเสี่ยงของระบบที่เชื่อมต่อกับ sandbox อย่างละเอียด นอกจากนี้ การทำ penetration testing ภายในองค์กรเพื่อยืนยันว่าการปิดกั้นการเข้าถึง API ทำงานได้อย่างสมบูรณ์ก็เป็นขั้นตอนที่แนะนำ

Summary

ผู้โจมตีได้เริ่มใช้ประโยชน์จากช่องโหว่สามรายการใน Fortinet FortiSandbox โดยหนึ่งในนั้นได้รับการแก้ไขแล้ว การอัปเดตแพตช์และการปฏิบัติตามแนวทางการป้องกันขั้นพื้นฐานเป็นสิ่งจำเป็นเพื่อปกป้องระบบ sandbox จากการละเมิดในอนาคต.