Fortinet FortiSandbox ภายใต้การโจมตี: 3 ช่องโหว่วิกฤตระดับ 9.1 ถูกโจมตีจริง หนึ่งช่องโหว่คาดว่าสร้างโดย AI

บริษัทข่าวกรองภัยคุกคาม Defused รายงานเมื่อวันที่ 16 มิถุนายน 2026 ว่า มีการใช้ประโยชน์จากช่องโหว่ร้ายแรงสามจุดในแพลตฟอร์มวิเคราะห์มัลแวร์ FortiSandbox ของ Fortinet อย่างแข็งขันภายในหน้าต่างเวลา 24 ชั่วโมง ช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลและเลี่ยงการยืนยันตัวตนได้โดยไม่ต้องรับรองความถูกต้อง (Authentication) บนผลิตภัณฑ์ที่อุปกรณ์ความปลอดภัยปลายทางอื่นๆ ของ Fortinet จำนวนมากใช้เพื่อตัดสินว่าไฟล์ใดเป็นมัลแวร์ สิ่งที่เพิ่มมิติใหม่ให้กับภัยคุกคามนี้คือ หนึ่งในเอ็กซ์พลอยต์ถูกสงสัยว่าสร้างขึ้นโดย AI ซึ่งแสดงให้เห็นถึงทั้งความรวดเร็วในการเปลี่ยนช่องโหว่ให้เป็นอาวุธ และข้อจำกัดในปัจจุบันของโค้ดโจมตีที่เขียนโดยเครื่องจักร

สามช่องโหว่ที่กำลังถูกโจมตี

ช่องโหว่ทั้งสามถูกจัดอันดับ คะแนน CVSS ที่ 9.1 ซึ่งจัดอยู่ในระดับวิกฤตที่ต้องได้รับการแก้ไขโดยทันที

CVE-2026-39813: การเข้าถึงนอกไดเรกทอรีใน JRPC API

• ประเภท: Path Traversal
• ช่องทางโจมตี: ผู้โจมตีที่ไม่ได้รับรองความถูกต้องสามารถเลี่ยงการยืนยันตัวตนได้โดยการส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยัง FortiSandbox JRPC API
• ผลิตภัณฑ์ที่ได้รับผลกระทบ: FortiSandbox เวอร์ชัน 5.0.0 ถึง 5.0.5 และ 4.4.0 ถึง 4.4.8
• สถานะ: ช่องโหว่นี้ไม่เคยมีบันทึกการถูกใช้ประโยชน์มาก่อนรายงานวันที่ 16 มิถุนายน

CVE-2026-39808: การแทรกคำสั่งระบบปฏิบัติการ

• ประเภท: การแทรกคำสั่งระบบปฏิบัติการ (OS Command Injection)
• ช่องทางโจมตี: ผู้โจมตีที่ไม่ได้รับรองความถูกต้องสามารถรันโค้ดหรือคำสั่งที่ไม่ได้รับอนุญาตได้โดยการส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ
• ผลิตภัณฑ์ที่ได้รับผลกระทบ: FortiSandbox เวอร์ชัน 4.4.0 ถึง 4.4.8 โดยมีการแก้ไขอยู่ในคำแนะนำก่อนหน้านี้ของ Fortinet

CVE-2026-25089: การแทรกคำสั่งระบบปฏิบัติการใน Web UI

• ประเภท: การแทรกคำสั่งระบบปฏิบัติการ (CWE-78)
• ช่องทางโจมตี: ช่องโหว่เกิดในฟีเจอร์ "start VNC" ของ Web UI ซึ่งส่งข้อมูล JSON ที่ไม่ผ่านการตรวจสอบโดยตรงไปยังระบบปฏิบัติการ ผู้โจมตีระยะไกลที่ไม่ได้รับรองความถูกต้องสามารถรันคำสั่งได้ตามอำเภอใจผ่านคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ
• เวอร์ชันที่ได้รับผลกระทบ:
  • FortiSandbox 5.0.0 ถึง 5.0.5
  • FortiSandbox 4.4.0 ถึง 4.4.8
  • FortiSandbox 4.2 (ทุกรุ่น)
  • FortiSandbox Cloud 5.0.4 ถึง 5.0.5
  • FortiSandbox PaaS 5.0.4 ถึง 5.0.5
• แพตช์: Fortinet เผยแพร่คำแนะนำ (FG-IR-26-141) และแพตช์เมื่อวันที่ 9 มิถุนายน 2026 โดยการอัปเกรดเป็น FortiSandbox 5.0.6 หรือสูงกว่า, FortiSandbox Cloud 5.0.6 หรือสูงกว่า และ FortiSandbox PaaS 5.0.6 หรือสูงกว่าจะช่วยแก้ไขช่องโหว่นี้

หมายเหตุเกี่ยวกับการให้คะแนน CVSS: แม้ว่าในช่วงแรก บางแหล่งข้อมูลจะระบุว่า CVE-2026-39808 และ CVE-2026-39813 มีคะแนน CVSS 9.8 แต่รายงานกลางเดือนมิถุนายนจาก NVD, Defused, BleepingComputer และ The Hacker News ยืนยันตรงกันว่าคะแนนของทั้งสาม CVE คือ 9.1 ทีมรักษาความปลอดภัยควรใช้คะแนน 9.1 เพื่อให้สอดคล้องกับข้อมูลข่าวกรองภัยคุกคามในปัจจุบัน

CVE-2026-25089 เผยให้เห็นอะไรเกี่ยวกับโค้ดเอ็กซ์พลอยต์ที่สร้างโดย AI

Defused รายงานว่าเอ็กซ์พลอยต์ที่พุ่งเป้าไปที่ CVE-2026-25089 นั้นดูเหมือนจะถูก "vibecoded" — คำที่บ่งชี้ว่าโค้ดมีแนวโน้มถูกสร้างโดย AI หรือประกอบขึ้นอย่างเร่งรีบ ขาดความประณีตและความน่าเชื่อถือของเอ็กซ์พลอยต์ที่เขียนด้วยมือโดยมืออาชีพ

ข้อสังเกตนี้เปิดหน้าต่างที่หาได้ยากให้เราเห็นว่า AI กำลังเปลี่ยนต้นทุนทางเศรษฐศาสตร์ในการใช้ประโยชน์จากช่องโหว่อย่างไร:

• ลดอุปสรรคในการเข้าสู่การโจมตี: โมเดล AI สามารถสร้างโค้ดที่ใช้การได้อย่างรวดเร็วสำหรับกลุ่มบั๊กที่มีนิยามชัดเจน เช่น การแทรกคำสั่งระบบปฏิบัติการ ทำให้ผู้ที่มีทักษะน้อยกว่าสามารถพยายามโจมตีช่องโหว่ที่เพิ่งมีการออกแพตช์ได้ แม้จะยังไม่มีการยืนยันว่ามีเอ็กซ์พลอยต์สาธารณะที่เชื่อถือได้สำหรับ CVE-2026-25089 แต่การพยายามใช้ประโยชน์ก็เริ่มขึ้นภายในไม่กี่วันหลังจากที่แพตช์ออก
• การประมวลผลที่ผิดพลาดและไม่สม่ำเสมอ: ห่วงโซ่การโจมตีที่ถูกสังเกตพบใช้วิธีปลอมแปลง User-Agent ของบราวเซอร์ทั่วไปและคำขอ HTTP พื้นฐาน แต่เพย์โหลดถูกประเมินว่า " อาจผิดพลาดและทำให้การรันโค้ดได้ผลลัพธ์ที่ไม่สม่ำเสมอ" สิ่งนี้สอดคล้องกับความเป็นจริงที่กว้างขึ้นของโค้ดที่สร้างโดย AI: มักจะถูกต้องตามหลักไวยากรณ์แต่เปราะบางในเชิงตรรกะ โดยเฉพาะอย่างยิ่งสำหรับช่องโหว่ที่ต้องการการจัดการในระดับโปรโตคอลที่แม่นยำ
• การโจมตีที่ตรวจจับได้ง่ายขึ้น: เอ็กซ์พลอยต์ที่มีข้อบกพร่องจะสร้างสัญญาณรบกวนทางเครือข่ายและเงื่อนไขข้อผิดพลาดมากกว่าเครื่องมือที่มนุษย์ประดิษฐ์ขึ้นอย่างปราณีต สำหรับฝ่ายป้องกัน นั่นหมายความว่าการโจมตีเหล่านี้อาจตรวจจับได้ง่ายขึ้นผ่านการวิเคราะห์พฤติกรรมและการตรวจจับความผิดปกติ แม้จะยังคงอันตรายพอที่จะเอาชนะระบบที่ไม่ได้รับแพตช์ได้
• แนวโน้มในอนาคตที่มีความน่าจะเป็นสูง: CVE-2026-25089 ทำหน้าที่เป็นกรณีศึกษาช่วงต้น การมีอยู่ของโมเดลภาษาขนาดใหญ่ (Large Language Models) ได้ลดระยะเวลาระหว่างการเผยแพร่แพตช์และความพยายามใช้ประโยชน์ครั้งแรก แม้ว่าผลลัพธ์ในวันนี้จะยังไม่สม่ำเสมอ แต่แนวโน้มกำลังมุ่งไปสู่การพัฒนาการใช้ประโยชน์โดยมี AI ช่วยเหลือที่มีความสามารถมากขึ้นในอนาคตอันใกล้

สิ่งที่ทีมรักษาความปลอดภัยควรทำตอนนี้

ช่องโหว่ทั้งสามของ FortiSandbox เป็นช่องโหว่ที่ไม่ต้องรองรับความถูกต้อง มีความซับซ้อนต่ำ และไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้ — ทำให้เป็นเป้าหมายที่สมบูรณ์แบบสำหรับการสแกนอัตโนมัติและการใช้ประโยชน์ในวงกว้าง FortiSandbox มีความอ่อนไหวเป็นพิเศษ เนื่องจากผลิตภัณฑ์อื่นๆ ของ Fortinet รวมถึงไฟร์วอลล์และระบบตรวจจับปลายทาง อาจใช้ผลการตัดสินว่าเป็นมัลแวร์ของมันในการสั่งการตัดสินใจบล็อกอัตโนมัติ

• แพตช์ทันที: อัปเกรดเป็นเวอร์ชันที่แก้ไขแล้วซึ่งระบุในคำแนะนำ FG-IR-26-141 ของ Fortinet สำหรับ CVE-2026-25089 และตรวจสอบว่าได้ทำการแก้ไขแพตช์สำหรับ CVE-2026-39813 และ CVE-2026-39808 (เผยแพร่เมื่อเดือนเมษายน 2026) แล้ว
• แยกอินเทอร์เฟซการจัดการ: จำกัดการเข้าถึง FortiSandbox Web UI และ JRPC API จากเครือข่ายที่ไม่น่าเชื่อถือ อินเทอร์เฟซเหล่านี้ไม่ควรเปิดให้เข้าถึงจากอินเทอร์เน็ตสาธารณะ
• ค้นหาดัชนีชี้วัดการถูกโจมตี (IoC): มองหาคำขอ HTTP ที่พุ่งเป้าไปที่ FortiSandbox Web UI ด้วยเพย์โหลด JSON ที่ถูกสร้างขึ้นอย่างผิดปกติ และเฝ้าติดตาม User-Agent สตริงของบราวเซอร์ทั่วไปที่ส่งไปยังอุปกรณ์
• สันนิษฐานว่ามีผลกระทบปลายทาง: หากคุณใช้ FortiGate, FortiAnalyzer หรือผลิตภัณฑ์อื่นๆ ของ Fortinet ที่ทำงานร่วมกับ FortiSandbox ให้ตรวจสอบว่าผลิตภัณฑ์เหล่านั้นได้รับคำตัดสินที่แท้จริง และไม่มีการเปลี่ยนแปลงการตั้งค่าที่ไม่ได้รับอนุญาต

ณ วันที่ 16 มิถุนายน 2026 ยังไม่มีการยืนยันถึงผลกระทบต่อลูกค้าหรือระบุกลุ่มภัยคุกคามที่แน่ชัด แต่ช่วงเวลาระหว่างการเผยแพร่แพตช์และการใช้ประโยชน์ในโลกจริงเน้นย้ำถึงความเร่งด่วนที่องค์กรต้องปฏิบัติต่อช่องโหว่ที่มีคะแนน 9.1 เหล่านี้เสมือนเป็นเหตุการณ์สำคัญลำดับแรก