ตั้งแต่ วันที่ 15 มกราคม 2026 เป็นต้นมา มีการตรวจพบ คลื่นการโจมตีอัตโนมัติ (automated attacks) ที่มุ่งเป้าไปยังอุปกรณ์ Fortinet FortiGate ทั่วโลก โดยเฉพาะอย่างยิ่งอุปกรณ์ที่มีบริการ FortiCloud SSO / Single Sign-On (SSO) เปิดใช้งานอยู่บนอินเทอร์เน็ต
🔓 ช่องโหว่เหล่านี้ช่วยให้แฮกเกอร์สามารถ:
สร้างบัญชีผู้ดูแลระบบที่ไม่ได้รับอนุญาตบนอุปกรณ์
เข้าถึงจัดการระบบไฟร์วอลล์
ส่งออก ไฟล์คอนฟิก ของ FortiGate ซึ่งมีข้อมูลสำคัญ เช่น กฎไฟร์วอลล์, การตั้งค่า VPN, และอาจรวมถึงรหัสผ่านบางส่วน
📌 เหตุโจมตีเกี่ยวข้องกับช่องโหว่ในระบบ SSO ของ FortiGate ซึ่งช่วยให้แฮกเกอร์ข้ามกระบวนการยืนยันตัวตน (authentication bypass) และเข้าถึงระบบได้โดยตรง โดยใช้ ข้อความ SAML ปลอม เพื่อยืนยันตัวเองและสร้างผู้ใช้ admin ใหม่ทันที แม้ระบบจะถูก อัปเดตเป็นเวอร์ชันล่าสุดแล้ว บางรายงานพบว่าการแพตช์ยังถูก “บายพาส” (patch bypass) หรือไม่สมบูรณ์ ทำให้ยังคงถูกโจมตีได้อยู่
📌 หลังจากเข้าถึงแล้ว แฮกเกอร์สามารถ:
ตั้งค่าเพื่อให้บัญชี generic / rogue มีสิทธิ์เข้าถึง
เปิดบริการ VPN สำหรับบัญชีเหล่านี้
ดาวน์โหลดไฟล์ config ทันทีผ่าน GUI
🧾 ทำไมไฟล์คอนฟิกถึงสำคัญ
ไฟล์คอนฟิกของไฟร์วอลล์มักเก็บข้อมูลสำคัญเช่น:
กฎการเข้าถึงเครือข่าย
ค่า configuration ของ VPN
รายละเอียดระบบและ credentials บางส่วน
ซึ่ง หากรั่วไหลออกไป อาจเปิดช่องให้แฮกเกอร์วางแผนโจมตีเพิ่มเติม หรือใช้ข้อมูลเพื่อเข้าถึงระบบเครือข่ายภายในองค์กรในอนาคต
ใครบ้างที่ได้รับผลกระทบ (Impact Scope)
เหตุการณ์ช่องโหว่ FortiGate ครั้งนี้ ไม่ได้กระทบทุกองค์กรเท่ากัน แต่จะมี “กลุ่มเสี่ยงสูง” ที่ควรเร่งตรวจสอบทันที ดังนี้
🔴 กลุ่มที่มีความเสี่ยงสูง
องค์กรที่ใช้งาน Fortinet FortiGate Firewall
เปิดใช้งาน FortiCloud / FortiCloud SSO (Single Sign-On)
เปิด Management Interface (HTTPS/GUI) ออกอินเทอร์เน็ตโดยตรง
ใช้ FortiGate เป็นศูนย์กลาง VPN ขององค์กร
ไม่ได้จำกัด IP สำหรับการเข้าจัดการระบบ (Admin Access)
🟠 กลุ่มที่ควรเฝ้าระวัง
องค์กรที่อัปเดต FortiOS แล้ว แต่ เคยเปิด FortiCloud SSO ในอดีต
ใช้งาน FortiGate ในหลายสาขา (Branch Office)
ใช้ config เดียวกันหลายอุปกรณ์ (config reuse)
🟢 กลุ่มที่มีความเสี่ยงต่ำ
FortiGate ที่ ไม่เปิด FortiCloud / SSO
จำกัดการเข้าถึง management เฉพาะภายใน (LAN / VPN)
มีการทำ Hardening และ Log Monitoring อย่างสม่ำเสมอ
📌 หมายเหตุสำคัญ
แม้อุปกรณ์จะถูกอัปเดตแพตช์แล้ว แต่หากเคยถูกเข้าถึงก่อนหน้า แฮกเกอร์อาจทิ้งบัญชีแฝงหรือ backdoor เอาไว้ได้
Checklist ตรวจสอบเบื้องต้น (Quick Self-Check)
องค์กรสามารถใช้ Checklist นี้เพื่อตรวจสอบความผิดปกติ ได้ทันทีโดยไม่ต้องใช้เครื่องมือพิเศษ
✅ ตรวจสอบบัญชีผู้ดูแลระบบ
มี admin account ที่ไม่รู้จักหรือไม่
มี account ชื่อแปลก / generic เช่น
admin2,support,systemหรือไม่มี admin ที่สร้างขึ้นช่วงเวลานอกเวลาทำงานหรือไม่
✅ ตรวจสอบ Log สำคัญ
มี log การ login admin จาก IP แปลกๆ หรือไม่
มี log การ export / download configuration หรือไม่
พบการเปลี่ยนค่า firewall policy, VPN หรือ user โดยไม่ทราบสาเหตุ
✅ ตรวจสอบ FortiCloud / SSO
FortiCloud SSO เปิดใช้งานอยู่หรือไม่
มีการเชื่อมต่อ FortiGate กับ FortiCloud โดยไม่จำเป็นหรือไม่
มี SSO setting ที่ไม่เคยตั้งค่าเองหรือไม่
✅ ตรวจสอบ VPN และ Network
มี VPN user ใหม่ที่ไม่รู้จักหรือไม่
VPN policy ถูกเปิดกว้างกว่าปกติหรือไม่
มี traffic ผิดปกติเข้า network ภายในหรือไม่
📌 คำแนะนำ
หากพบความผิดปกติแม้เพียงข้อเดียว ควรถือว่าเป็น Security Incident และดำเนินการตรวจสอบเชิงลึกทันที
🔧 แนวทางป้องกันและขอคำแนะนำ
จนกว่า Fortinet จะออกแพตช์แก้ไขเต็มรูปแบบ:
🔒 ปิด FortiCloud SSO / FortiCloud admin login ชั่วคราว — ลดช่องทางโจมตีจากอินเทอร์เน็ต
📊 ตรวจสอบบันทึก (logs) สำหรับการสร้าง admin หรือการโหลดไฟล์คอนฟิกที่ไม่ได้อธิบายได้
🔐 ตั้งค่าควบคุมการเข้าถึง management interfaces ให้เข้มงวด — ใช้ Trusted Hosts, VPN และ/หรือ IP-restricted access
🔄 อัปเดต FortiOS และ Fortinet firmware ให้เป็นเวอร์ชันล่าสุดเสมอ
🛡️ พิจารณาตรวจสอบความปลอดภัยเพิ่มเติมจากผู้เชี่ยวชาญ
สรุปและบทเรียนจากเหตุการณ์นี้ (Lessons Learned)
เหตุการณ์ช่องโหว่ FortiGate ในครั้งนี้สะท้อนให้เห็นอย่างชัดเจนว่า แม้อุปกรณ์ด้านความปลอดภัยอย่างไฟร์วอลล์จะถูกออกแบบมาเพื่อป้องกันภัยคุกคาม แต่ก็ไม่ได้หมายความว่าจะปลอดภัยโดยอัตโนมัติ หากการตั้งค่าและการดูแลระบบขาดความรอบคอบ ช่องโหว่เพียงจุดเดียวอาจกลายเป็นประตูบานใหญ่ที่เปิดทางให้แฮกเกอร์เข้าถึงโครงสร้างเครือข่ายของทั้งองค์กรได้ โดยเฉพาะในยุคที่ระบบความปลอดภัยถูกเชื่อมต่อกับบริการ Cloud และระบบยืนยันตัวตนแบบ Single Sign-On มากขึ้น ความสะดวกสบายที่เพิ่มเข้ามาย่อมแลกกับพื้นผิวการโจมตี (Attack Surface) ที่กว้างขึ้นตามไปด้วย
บทเรียนสำคัญจากเหตุการณ์นี้คือ การอัปเดตแพตช์หรือเฟิร์มแวร์เพียงอย่างเดียวไม่เพียงพอสำหรับการรับมือภัยไซเบอร์ องค์กรจำเป็นต้องมองความปลอดภัยเป็นกระบวนการต่อเนื่อง ไม่ใช่การแก้ไขเป็นครั้งคราว การเฝ้าระวัง Log การเข้าถึง การตรวจสอบบัญชีผู้ดูแลระบบอย่างสม่ำเสมอ และการจำกัดสิทธิ์การจัดการระบบให้แคบที่สุด ล้วนเป็นองค์ประกอบที่ต้องทำควบคู่กัน เพราะในหลายกรณี แม้ระบบจะถูกอัปเดตแล้ว แต่หากเคยถูกเจาะมาก่อน แฮกเกอร์อาจทิ้งบัญชีแฝงหรือการตั้งค่าที่เปิดช่องไว้ให้กลับมาโจมตีซ้ำได้ในอนาคต
อีกประเด็นที่องค์กรไม่ควรมองข้ามคือ ความสำคัญของไฟล์คอนฟิกไฟร์วอลล์ ซึ่งไม่ได้เป็นเพียงไฟล์ตั้งค่าทางเทคนิคเท่านั้น แต่ถือเป็นข้อมูลเชิงโครงสร้างของระบบเครือข่ายทั้งหมด การที่ไฟล์เหล่านี้รั่วไหลออกไปเท่ากับเปิดเผยแผนผังเครือข่าย กฎการเข้าถึง และจุดอ่อนของระบบให้กับผู้ไม่หวังดี ซึ่งอาจนำไปสู่การโจมตีเชิงลึกในระยะยาว ทั้งการแฝงตัวในระบบ การเจาะ VPN หรือการเคลื่อนไหวภายในเครือข่ายโดยที่องค์กรไม่ทันสังเกต
ท้ายที่สุด เหตุการณ์นี้เป็นสัญญาณเตือนให้องค์กรต้องทบทวนแนวคิดด้านความปลอดภัยใหม่ทั้งหมด ไม่ว่าจะเป็นการออกแบบระบบ การเลือกเปิดใช้งานฟีเจอร์ที่จำเป็นจริงๆ หรือการเตรียมแผนรับมือเหตุการณ์ด้านความปลอดภัยล่วงหน้า องค์กรที่มีแผน Incident Response ชัดเจนจะสามารถลดความเสียหายทั้งในด้านเทคนิค ธุรกิจ และภาพลักษณ์ได้อย่างมาก เมื่อภัยคุกคามไม่ได้ถามล่วงหน้าว่าจะเกิดขึ้นเมื่อใด ความพร้อมจึงเป็นเกราะป้องกันที่สำคัญที่สุดในโลกไซเบอร์ปัจจุบัน
