สรุปสั้น
นักวิจัยด้านความปลอดภัย นาย Bob Diachenko ค้นพบเซิร์ฟเวอร์ที่เก็บข้อมูล credential ของอุปกรณ์ Fortinet/FortiGate VPN จำนวนกว่า 73,932 URL จาก 194 ประเทศทั่วโลก ข้อมูลที่รั่วไหลประกอบด้วยชื่อผู้ใช้ อีเมล และรหัสผ่านแบบ plaintext ขององค์กรขนาดใหญ่หลายแห่ง รวมถึงบริษัท Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, Oracle และหน่วยงานรัฐจำนวนมาก ข้อมูลยังรวมถึงรายละเอียดอุตสาหกรรม รายได้ และจำนวนพนักงานของแต่ละองค์กร ซึ่งบ่งชี้ว่าผู้โจมตีเตรียมใช้ข้อมูลเหล่านี้วางแผนโจมตีต่อ
นาย Kevin Beaumont นักวิจัยอิสระด้านความปลอดภัยไซเบอร์ ได้ยืนยันว่า credential บางส่วนเป็นของจริงและยังใช้งานได้ โดยข้อมูลน่าจะมาจากไฟล์ configuration ที่ถูก export ออกมาจากอุปกรณ์ Fortinet ไทยถูกจัดอยู่ในกลุ่ม 10 ประเทศที่ได้รับผลกระทบมากที่สุด ร่วมกับอินเดีย สหรัฐฯ ไต้หวัน เม็กซิโก ตุรกี โคลอมเบีย มาเลเซีย ชิลี และสหรัฐอาหรับเอมิเรตส์
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 17 มิถุนายน พ.ศ. 2569 ว่า นาย Bob Diachenko นักวิจัยด้านความปลอดภัยได้ค้นพบเซิร์ฟเวอร์ที่เปิดเผยข้อมูล credential ของอุปกรณ์ Fortinet VPN กว่า 73,932 URL ครอบคลุม 21,632 โดเมนจาก 194 ประเทศ ข้อมูลที่รั่วไหลถูกตั้งชื่อว่า “FortiBleed” และประกอบด้วยชื่อผู้ใช้ อีเมล และรหัสผ่านแบบ plaintext พร้อมข้อมูลเสริมเกี่ยวกับอุตสาหกรรม รายได้ และจำนวนพนักงานขององค์กรเป้าหมาย
จากการสืบสวนเพิ่มเติม นาย Diachenko พบว่าปฏิบัติการนี้ดำเนินการโดยกลุ่มผู้โจมตีที่พูดภาษารัสเซียหลายทีม ซึ่งได้ทำการ brute-force ประมาณ 1.16 พันล้านครั้งต่อเป้าหมาย FortiGate จำนวน 320,777 เครื่อง และอีก 2.1 พันล้านครั้งต่อระบบ Microsoft SQL Server จำนวน 163,650 เครื่อง ผู้โจมตียังดักจับ SSL VPN authentication hash และใช้คลัสเตอร์ GPU จำนวน 45 ตัวผ่าน Hashtopolis เพื่อถอดรหัส จากนั้นใช้ credential ที่ได้เจาะเข้าสู่ระบบ Active Directory ภายในองค์กร
บริษัท Hudson Rock ซึ่งเป็นบริษัทด้าน threat intelligence ได้วิเคราะห์ชุดข้อมูลดังกล่าวและระบุว่าเป็นหนึ่งในคลังข้อมูล credential ที่ถูกขโมยเกี่ยวกับ Fortinet ที่ใหญ่ที่สุดเท่าที่เคยพบมา โดยครอบคลุมเกือบทุกภาคอุตสาหกรรมหลัก ตั้งแต่โทรคมนาคม บริการไอที การเงิน หน่วยงานรัฐ สาธารณสุข การศึกษา ไปจนถึงภาคการผลิต ข้อมูลยังแสดงว่าองค์กรหลายแห่งในญี่ปุ่น ไต้หวัน เวียดนาม อิรัก และตุรกีถูกเจาะระบบสำเร็จทั้งหมด รวมถึงผู้รับเหมาด้านกลาโหมของ NATO ในตุรกีที่ถูกขโมยเอกสารลับ
นาย Kevin Beaumont นักวิจัยอิสระ ยืนยันว่า credential หลายรายการเป็นของจริงและอุปกรณ์เกือบทั้งหมดยังออนไลน์อยู่ โดยข้อมูลน่าจะถูกดึงจากไฟล์ configuration ของ Fortinet เนื่องจากมีข้อมูลเช่นอีเมลที่ปกติจะเข้าถึงได้เฉพาะผ่าน config เท่านั้น เขาประเมินว่าข้อมูลที่รั่วไหลครอบคลุมราว 50% ของ Fortinet firewall ทั้งหมดที่เข้าถึงได้จากอินเทอร์เน็ต และอุปกรณ์ส่วนใหญ่เปิด management interface ให้เข้าถึงจากภายนอกได้โดยตรง

รายละเอียดช่องโหว่
แหล่งที่มาของข้อมูล configuration ที่รั่วไหลยังไม่สามารถระบุได้ชัดเจน โดยยังไม่ทราบว่าถูกขโมยผ่านช่องโหว่ที่เคยเปิดเผยแล้วของ Fortinet หรือผ่านช่องโหว่ใหม่ที่ยังไม่มีการเปิดเผย ทั้งนาย Diachenko, บริษัท Hudson Rock และนาย Beaumont ต่างไม่สามารถระบุวิธีที่ผู้โจมตีได้ข้อมูล configuration มาได้ อย่างไรก็ตาม การวิเคราะห์พบว่าผู้โจมตีใช้เทคนิคหลายขั้นตอน ได้แก่ การ brute-force credential จำนวนมหาศาล (1.16 พันล้านครั้ง), การดักจับ SSL VPN authentication hash, การใช้คลัสเตอร์ GPU 45 ตัวถอดรหัส hash ผ่านระบบ Hashtopolis และการใช้ credential ที่ถอดรหัสได้เพื่อเคลื่อนย้ายภายในเครือข่ายไปยัง Active Directory
สิ่งที่น่าสังเกตคือ credential หลายรายการเป็นรหัสผ่านที่ซับซ้อนและยาว ซึ่งปกติจะถอดรหัสได้ยาก แต่การที่ข้อมูลน่าจะมาจาก configuration file โดยตรง หมายความว่ารหัสผ่านเหล่านี้อาจถูกดึงออกมาโดยไม่ต้องถอดรหัส และชุดข้อมูลนี้ยังแตกต่างจากข้อมูลรั่วไหลของกลุ่ม Belsen Group ในปี 2025 ทั้ง IP address และขอบเขต ซึ่งบ่งชี้ว่าเป็นการโจมตีครั้งใหม่และใหญ่กว่า
ผลกระทบต่อไทย
ไทยถูกจัดอยู่ในกลุ่ม 10 ประเทศที่ได้รับผลกระทบมากที่สุดจากเหตุการณ์ FortiBleed ซึ่งหมายความว่ามีอุปกรณ์ Fortinet VPN ของหน่วยงานและองค์กรในไทยจำนวนมากที่ credential ถูกเปิดเผย เนื่องจาก Fortinet เป็นอุปกรณ์ firewall/VPN ที่ใช้แพร่หลายในหน่วยงานรัฐ ธนาคาร โรงพยาบาล มหาวิทยาลัย และบริษัทเอกชนขนาดใหญ่ของไทย ผู้ดูแลระบบควรตรวจสอบทันทีว่าองค์กรของตนอยู่ในรายชื่อที่ได้รับผลกระทบหรือไม่ โดยใช้เครื่องมือตรวจสอบฟรีที่บริษัท Hudson Rock จัดทำไว้ หากพบว่าได้รับผลกระทบ ต้องเปลี่ยนรหัสผ่านและตรวจสอบล็อกทันที
คำแนะนำ
องค์กรที่ใช้อุปกรณ์ Fortinet ควรตรวจสอบว่าองค์กรอยู่ในรายชื่อที่ได้รับผลกระทบผ่านเครื่องมือ FortiBleed lookup ของบริษัท Hudson Rock ทันที หากพบว่าได้รับผลกระทบ ให้เปลี่ยนรหัสผ่านของ VPN และ administrative interface ทั้งหมดโดยเร่งด่วน เปิดใช้ MFA สำหรับการเข้าถึง VPN และ management interface ทุกช่องทาง ตรวจสอบล็อกของ gateway ย้อนหลังเพื่อหาสัญญาณกิจกรรมที่น่าสงสัย และปิดการเข้าถึง FortiGate management interface จากอินเทอร์เน็ตโดยตรง นอกจากนี้ควรตรวจสอบว่าอุปกรณ์ Fortinet ทำงานบน FortiOS เวอร์ชันล่าสุดและติดตั้งแพตช์ความปลอดภัยทั้งหมดแล้ว
