Fortinet VPN เจอ Brute-force ครั้งใหญ่ อาจเป็นจุดเริ่ม Zero-Day Exploit

Last updated: 15 Aug 2025

258 Views

สรุปข้อมูล

เมื่อต้นเดือนสิงหาคม 2025 ได้มีการตรวจพบการโจมตีแบบ Brute-Force ในปริมาณสูงผิดปกติ ซึ่งมุ่งเป้าหมายไปยังระบบ Fortinet SSL VPN ก่อนจะมีการปรับเปลี่ยนเป้าหมายไปยัง FortiManager สะท้อนให้เห็นถึงการเปลี่ยนแปลงกลยุทธอย่างมีนัยสำคัญ เหตุการณ์ลักษณะนี้เคยเกิดขึ้นหลายครั้งในอดีต และมักเกิดขึ้นไม่นานก่อนที่ช่องโหว่ใหม่ของผู้ผลิตจะถูกเปิดเผยต่อสาธารณะ จึงเป็นสัญญาณเตือนที่ผู้ดูแลระบบและหน่วยงานด้านความมั่นคงความปลอดภัยควรให้ความสำคัญอย่างยิ่ง

รายละเอียดเพิ่มเติม

เมื่อวันที่ 3 สิงหาคม 2025 แพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise ตรวจพบการเพิ่มขึ้นอย่างมีนัยสำคัญของความพยายามโจมตีแบบ Brute-Force ต่อบริการ Fortinet SSL VPN ซึ่งเป็นส่วนหนึ่งของกิจกรรมที่สืบเนื่องมาจากช่วงก่อนหน้า

การวิเคราะห์ด้วยเทคนิค JA4+ เป็นการระบุลักษณะการสื่อสารที่เข้ารหัสพบความเชื่อมโยงกับเหตุการณ์ในเดือนมิถุนายน ซึ่งมีต้นทางจากอุปกรณ์ FortiGate ภายใต้ผู้ให้บริการ Pilot Fiber Inc. แม้ข้อมูลนี้จะไม่สามารถยืนยันตัวตนของผู้โจมตีได้อย่างชัดเจน แต่เห็นความเป็นไปได้ว่าอาจมีการใช้เครื่องมือหรือสภาพแวดล้อมเครือข่ายเดิมในการโจมตี

ต่อมาในวันที่ 5 สิงหาคม 2025 หลังเหตุการณ์แรก GreyNoise ตรวจพบการโจมตี Brute-Force รอบใหม่จากกลุ่มเดียวกัน แต่เปลี่ยนเป้าหมายจาก Fortinet SSL VPN ไปยังบริการ FGFM ของ FortiManager แทน โดยพบว่าปริมาณ Network traffic ปริมาณมากมุ่งเป้าหมายไปยัง FortiManager อย่างต่อเนื่อง แม้ว่ายังคงถูกระบุแท็กเป็น Fortinet SSL VPN Bruteforcer

การเปลี่ยนเป้าหมายนี้สะท้อนถึงความเป็นไปได้ที่ผู้โจมตีหรือเครื่องมือชุดเดิม ได้ปรับยุทธวิธีจากการพยายามเจาะรหัสผ่าน VPN ไปสู่การเข้าถึงระบบจัดการ FortiManager โดยตรง

ผลกระทบจากการโจมตี

จากเหตุการณ์โจมตีดังกล่าวชี้ให้เห็นถึงความเสี่ยงต่อโครงสร้างพื้นฐานขององค์กรที่ใช้งานอุปกรณ์ Fortinet ทั้งในส่วนของการเชื่อมต่อ VPN และระบบจัดการ FortiManager เนื่องจากการเปลี่ยนเป้าหมายจากการ Brute-Force SSL VPN ไปสู่การโจมตีบริการจัดการโดยตรง อาจนำไปสู่การเข้าควบคุมอุปกรณ์เครือข่ายระดับโครงสร้างหลัก หากผู้โจมตีสามารถเจาะระบบได้สำเร็จ ผลลัพธ์อาจรวมถึงการปรับเปลี่ยนการตั้งค่า การสร้างบัญชีผู้ดูแลปลอม การสอดแนมข้อมูลเครือข่าย หรือแม้แต่การติดตั้งมัลแวร์เพื่อใช้โจมตีในอนาคต

สรุปการโจมตี

พบการเพิ่มขึ้นของการโจมตีแบบ Brute-Force ต่อ Fortinet SSL VPN โดยพบความเชื่อมโยงกับกิจกรรมจากอดีตที่ใช้โครงสร้างพื้นฐานและเครื่องมือคล้ายกัน ก่อนที่ผู้โจมตีชุดเดิมจะปรับเปลี่ยนเป้าหมายจากการเจาะรหัสผ่าน VPN ไปสู่การพยายามเข้าถึงระบบจัดการ FortiManager โดยตรง สะท้อนถึงการปรับยุทธวิธีเพื่อเพิ่มโอกาสในการเจาะระบบ

คำแนะนำ

ติดตามประกาศจากทาง Fortinet อย่างใกล้ชิด
จำกัดการเข้าถึงจากภายนอกโดยอนุญาตเฉพาะการเชื่อมต่อจาก IP ที่เชื่อถือได้ หรือที่ได้รับอนุญาตเท่านั้น
เปิดใช้งาน Login Protection เช่น Captcha, Account Lockout, หรือ Two-Factor Authentication เพื่อจำกัดการลองรหัสผ่านซ้ำ
จำกัดสิทธิ์ของผู้ใช้งานตามหลัก Least Privilege Principle ให้แต่ละบัญชี
ทำการ Vulnerability Scanning และ Penetration Testing อย่างสม่ำเสมอ เพื่อค้นหาช่องโหว่ที่ยังไม่ได้รับการแก้ไข

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/spike-in-fortinet-vpn-brute-force-attacks-raises-zero-day-concerns/

Tags :

#YourTrustedCybersecuritServicesCompany

#Cybersecurity

#Cybersecuritynews