สรุปสั้น

เมื่อวันอังคารที่ผ่านมา บริษัท Fortinet และ บริษัท Ivanti ทยอยออกแพตช์แก้ไขช่องโหว่หลายรายการในผลิตภัณฑ์ของตน รวมถึงช่องโหว่ระดับ Critical ประเภท OS command injection ที่ผู้โจมตีสามารถใช้จากระยะไกลโดยไม่ต้องยืนยันตัวตน ฝั่ง Fortinet เผยแพร่ 3 advisory ครอบคลุม FortiSandbox, FortiOS, FortiProxy และ FortiPortal โดยตัวร้ายแรงที่สุดคือ CVE-2026-25089 ที่มีคะแนน CVSS 9.8 เป็น OS command injection กระทบ FortiSandbox, FortiSandbox Cloud และ FortiSandbox PaaS ผ่าน WEB UI ส่วนฝั่ง Ivanti ออก Sentry เวอร์ชัน 10.5.2, 10.6.2 และ 10.7.1 รวมถึง Endpoint Manager Mobile (EPMM) หลายเวอร์ชัน โดยแก้ไขช่องโหว่ระดับ Critical สองตัวใน Sentry ได้แก่ CVE-2026-10520 ที่มีคะแนน CVSS เต็ม 10.0 และ CVE-2026-10523 คะแนน 9.9 ทั้ง Fortinet และ Ivanti ยืนยันว่ายังไม่มีหลักฐานว่าช่องโหว่เหล่านี้ถูกโจมตีจริง

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 ว่าช่องโหว่ CVE-2026-25089 ของ Fortinet เปิดให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการยืนยันตัวตนสามารถส่ง HTTP request ที่ถูกสร้างขึ้นพิเศษเพื่อรันคำสั่งใดก็ได้บน appliance ที่มีช่องโหว่ โดยแพตช์รวมอยู่ใน FortiSandbox 5.0.6 และ 4.4.9, FortiSandbox Cloud 5.0.6 และ FortiSandbox PaaS 5.0.6 ส่วนช่องโหว่อีกสองรายการของ Fortinet เป็นระดับ medium ใน FortiOS/FortiProxy และ FortiPortal API ที่ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถใช้รันสคริปต์และเปิดเผยข้อมูล config เครือข่ายที่อ่อนไหว ทางด้าน Ivanti ระบุว่าการอัปเดต Sentry แก้ไขบั๊กระดับ Critical สองตัว โดย CVE-2026-10520 (CVSS 10.0) เป็น OS command injection ที่ใช้โจมตีจากระยะไกลโดยไม่ต้องยืนยันตัวตนเพื่อรันโค้ดด้วยสิทธิ์ root ขณะที่ CVE-2026-10523 (CVSS 9.9) เป็น authentication bypass ที่เปิดให้ผู้โจมตีจากระยะไกลที่ไม่ยืนยันตัวตนสร้างบัญชีผู้ใช้ที่มีบทบาท administrator และเข้าถึง appliance ได้เต็มที่ ส่วนการอัปเดต EPMM แก้ไขช่องโหว่ระดับ high สองตัว (CVE-2026-6973 และ CVE-2026-10727) ที่ผู้โจมตีที่ผ่านการยืนยันตัวตนใช้ทำ RCE ผ่าน Apache directive และรันคำสั่งด้วยสิทธิ์ root ได้

รายละเอียดช่องโหว่

จุดที่อันตรายที่สุดคือ CVE-2026-10520 ใน Ivanti Sentry ที่ได้คะแนน CVSS เต็ม 10.0 เพราะรวมคุณสมบัติที่เลวร้ายที่สุดไว้ครบ คือโจมตีจากระยะไกล (network) ไม่ต้องยืนยันตัวตน ไม่ต้องโต้ตอบจากผู้ใช้ และได้สิทธิ์ root ทันที Ivanti Sentry เป็น gateway ที่ทำหน้าที่ควบคุมการเข้าถึงระหว่างอุปกรณ์มือถือกับระบบหลังบ้านขององค์กร เช่น Exchange และ wireless infrastructure จึงมักวางอยู่ในตำแหน่งที่เข้าถึงได้จากอินเทอร์เน็ต การยึด Sentry ได้หมายถึงการเปิดประตูเข้าสู่เครือข่ายภายในและข้อมูลอีเมลขององค์กร เมื่อรวมกับ CVE-2026-10523 ที่เปิดให้สร้างบัญชี admin ได้ ผู้โจมตีสามารถยึดการควบคุม appliance แบบเบ็ดเสร็จ ขณะที่ฝั่ง Fortinet ช่องโหว่ FortiSandbox ก็น่ากังวลเพราะ FortiSandbox เป็นระบบวิเคราะห์มัลแวร์ที่องค์กรไว้วางใจ การยึด appliance ตัวนี้ได้นอกจากจะเปิดทางเข้าเครือข่ายแล้ว ยังอาจถูกใช้บิดเบือนผลการวิเคราะห์ภัยคุกคามได้อีกด้วย ประวัติที่ผ่านมาช่องโหว่ในผลิตภัณฑ์ edge ของทั้ง Fortinet และ Ivanti มักถูกกลุ่ม APT และแรนซัมแวร์นำไปโจมตีจริงอย่างรวดเร็วหลังเปิดเผย

ผลกระทบต่อไทย

ผลิตภัณฑ์ของ Fortinet โดยเฉพาะ FortiGate และ FortiSandbox เป็นอุปกรณ์ความปลอดภัยที่ใช้แพร่หลายมากในองค์กรไทยทุกขนาด ขณะที่ Ivanti Sentry และ EPMM ถูกใช้ในองค์กรที่บริหารจัดการอุปกรณ์มือถือ (MDM/EMM) จำนวนมาก ช่องโหว่ที่ได้คะแนน CVSS 10.0 และ 9.8 ในอุปกรณ์ที่มักเปิดให้เข้าถึงจากอินเทอร์เน็ตเหล่านี้ ถือเป็นเป้าหมายชั้นดีของผู้โจมตี และจากบทเรียนที่ผ่านมาช่องโหว่ในอุปกรณ์ edge ของ Fortinet และ Ivanti มักถูกสแกนหาและโจมตีในวงกว้างภายในไม่กี่วันหลังแพตช์ออก องค์กรไทยที่ใช้ผลิตภัณฑ์เหล่านี้จึงไม่ควรรอ และควรถือว่าช่วงเวลาหลังแพตช์ออกคือช่วงที่ความเสี่ยงสูงที่สุดเพราะผู้โจมตีจะเร่ง reverse engineer แพตช์เพื่อสร้าง exploit

คำแนะนำ

อัปเดต FortiSandbox เป็นเวอร์ชัน 5.0.6 หรือ 4.4.9, FortiSandbox Cloud และ PaaS เป็น 5.0.6 และติดตั้งแพตช์ FortiOS/FortiProxy/FortiPortal ตาม advisory ของ Fortinet ทันที สำหรับ Ivanti ให้อัปเดต Sentry เป็นเวอร์ชัน 10.5.2, 10.6.2 หรือ 10.7.1 และ EPMM เป็น 12.9.0.1, 12.8.0.3 หรือ 12.7.0.2 ตามรุ่นที่ใช้ จำกัดการเข้าถึง management interface ของอุปกรณ์เหล่านี้จากอินเทอร์เน็ตให้น้อยที่สุดด้วย network segmentation และ allowlist ตรวจสอบ log การสร้างบัญชีผู้ใช้ใหม่ที่ผิดปกติ (โดยเฉพาะบัญชีระดับ admin) และพฤติกรรมการรันคำสั่งที่น่าสงสัยบน appliance หากพบสัญญาณการบุกรุกให้เริ่ม incident response ทันที และติดตามประกาศจาก Fortinet PSIRT และ Ivanti อย่างต่อเนื่อง

แหล่งอ้างอิง