Fortinet เตือนช่องโหว่ Zero-day บน FortiWeb ถูกใช้โจมตีจริงแล้ว

Fortinet ออกแพตช์แก้ไขช่องโหว่ Zero-day CVE-2025-58034 บน FortiWeb Web Application Firewall หลังพบการใช้โจมตีจริง พร้อมแนะนำให้ผู้ดูแลระบบอัปเดตโดยด่วน

ช่องโหว่ CVE-2025-58034 ที่ถูกรายงานโดยทีมวิจัย Trend Research ของ Trend Micro เป็นช่องโหว่ประเภท OS Command Injection ที่อนุญาตให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบสามารถรันคำสั่งบนระบบผ่าน HTTP requests หรือคำสั่ง CLI ที่ถูกออกแบบมาเป็นพิเศษ ช่องโหว่นี้จัดอยู่ในระดับที่สามารถโจมตีได้ไม่ซับซ้อนและไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน Trend Micro ระบุว่าตรวจพบการโจมตีกว่า 2,000 ครั้งแล้วในขณะนี้

ผลกระทบครอบคลุม FortiWeb หลายเวอร์ชัน ได้แก่ FortiWeb 8.0.0-8.0.1 (แก้ไขใน 8.0.2), FortiWeb 7.6.0-7.6.5 (แก้ไขใน 7.6.6), FortiWeb 7.4.0-7.4.10 (แก้ไขใน 7.4.11), FortiWeb 7.2.0-7.2.11 (แก้ไขใน 7.2.12) และ FortiWeb 7.0.0-7.0.11 (แก้ไขใน 7.0.12) ผู้ดูแลระบบควรดำเนินการอัปเดตไปยังเวอร์ชันที่แก้ไขแล้วทันทีเพื่อป้องกันการถูกโจมตี

นอกจากนี้ Fortinet ยังยืนยันว่าได้แก้ไขช่องโหว่ Zero-day อีกตัว CVE-2025-64446 แบบเงียบๆ เมื่อวันที่ 28 ตุลาคม ซึ่งเป็นช่องโหว่ที่ถูกใช้โจมตีอย่างแพร่หลายเพื่อสร้างบัญชีผู้ดูแลระบบบนอุปกรณ์ที่เปิดเผยต่อ Internet CISA ได้เพิ่มช่องโหว่นี้เข้าใน catalog ของช่องโหว่ที่ถูกใช้โจมตีจริงและสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ดำเนินการแก้ไขภายในวันที่ 21 พฤศจิกายน

ที่มา: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-fortiweb-zero-day-exploited-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …