ช่องโหว่ร้ายแรง: Microsoft, Fortinet & Ivanti เตือนด่วน | th

ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ดูแลระบบกำลังอยู่ในภาวะตื่นตัวอย่างสูง เนื่องจาก Microsoft, Fortinet และ Ivanti ต่างได้ออกประกาศเตือนด้านความปลอดภัยที่สำคัญเกี่ยวกับช่องโหว่ Zero-Day ที่ถูกโจมตีอย่างต่อเนื่อง ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ของตน ช่องโหว่เหล่านี้ก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กร ซึ่งอาจนำไปสู่การเข้าถึงโดยไม่ได้รับอนุญาต การละเมิดข้อมูล และการประนีประนอมระบบ ขอแนะนำอย่างยิ่งให้ทำการแก้ไขและดำเนินการตามวิธีแก้ไขปัญหาที่แนะนำทันที เพื่อลดภัยคุกคามที่อาจเกิดขึ้น

Microsoft แก้ไขช่องโหว่ที่ถูกโจมตีและเปิดเผยต่อสาธารณะแล้ว

การเผยแพร่ Patch Tuesday ล่าสุดของ Microsoft รวมถึงการแก้ไขช่องโหว่จำนวนมากที่น่ากังวล รวมถึงห้าช่องโหว่ที่ถูกโจมตีในวงกว้างแล้ว พร้อมกับช่องโหว่ Zero-Day ที่เปิดเผยต่อสาธารณะอีกสองช่องโหว่ ข้อบกพร่องที่ถูกโจมตีอย่างต่อเนื่องแสดงถึงภัยคุกคามร้ายแรง เนื่องจากผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อประนีประนอมระบบอย่างแข็งขัน

รายละเอียดช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่อง

ช่องโหว่ต่อไปนี้ได้รับการระบุว่าถูกโจมตีอย่างต่อเนื่อง:

Microsoft DWM Core Library (CVE-2025-30400): ช่องโหว่นี้ใน Desktop Window Manager (DWM) Core Library อาจอนุญาตให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตนเองไปสู่ระดับ SYSTEM ได้ ซึ่งหมายความว่าผู้โจมตีจะสามารถควบคุมระบบที่ได้รับผลกระทบได้อย่างสมบูรณ์
Windows Common Log File System (CVE-2025-32701 และ CVE-2025-32706): ช่องโหว่สองช่องแยกกันภายใน Windows Common Log File System (CLFS) อาจอนุญาตให้ผู้โจมตีบรรลุสิทธิ์ระดับ SYSTEM ได้เช่นกัน CLFS คือบริการบันทึกทั่วไปที่ใช้โดยส่วนประกอบต่างๆ ของ Windows
Windows Ancillary Function Driver (CVE-2025-32709): ช่องโหว่ใน Windows Ancillary Function Driver อาจนำไปสู่การยกระดับสิทธิ์ไปสู่ระดับ SYSTEM ได้เช่นกัน
Microsoft Scripting Engine (CVE-2025-30397): ช่องโหว่การเสียหายของหน่วยความจำมีอยู่ใน Microsoft Scripting Engine ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดโดยพลการได้ ซึ่งจะทำให้ผู้โจมตีสามารถเรียกใช้ซอฟต์แวร์ที่เป็นอันตรายบนระบบที่ได้รับผลกระทบได้

ช่องโหว่ที่เปิดเผยต่อสาธารณะ

นอกเหนือจากช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่องแล้ว Microsoft ยังได้จัดการกับช่องโหว่ Zero-Day ที่เปิดเผยต่อสาธารณะอีกสองช่องโหว่:

Microsoft Defender (CVE-2025-26685): ช่องโหว่การปลอมแปลงข้อมูลประจำตัวมีอยู่ใน Microsoft Defender ซึ่งอาจอนุญาตให้ผู้โจมตีสามารถปลอมแปลงบัญชีอื่นบนเครือข่ายที่อยู่ติดกันได้
Visual Studio (CVE-2025-32702): ช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Visual Studio อาจอนุญาตให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถเรียกใช้โค้ดในเครื่องได้

ช่องโหว่ร้ายแรงที่ต้องให้ความสำคัญ

นอกเหนือจากข้อบกพร่องที่ถูกโจมตีอย่างต่อเนื่องและเปิดเผยต่อสาธารณะแล้ว Microsoft ยังได้ออกแพตช์สำหรับช่องโหว่ร้ายแรงหกช่องโหว่ที่แม้ว่าจะยังไม่ทราบว่าถูกนำไปใช้ แต่ก็ควรจัดลำดับความสำคัญในการแก้ไข ช่องโหว่เหล่านี้ส่งผลกระทบต่อผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง:

Microsoft Office (CVE-2025-30377 และ CVE-2025-30386): ช่องโหว่ร้ายแรงสองช่องได้รับการระบุใน Microsoft Office ซึ่งอาจอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลได้
Microsoft Power Apps (CVE-2025-47733): ช่องโหว่ร้ายแรงถูกค้นพบใน Microsoft Power Apps ซึ่งอาจนำไปสู่การเข้าถึงโดยไม่ได้รับอนุญาตหรือการเรียกใช้โค้ด
Remote Desktop Gateway Service (CVE-2025-29967): ช่องโหว่ร้ายแรงมีอยู่ใน Remote Desktop Gateway Service ซึ่งอาจอนุญาตให้ผู้โจมตีสามารถประนีประนอมระบบได้
Windows Remote Desktop (CVE-2025-29966): ช่องโหว่ร้ายแรงถูกพบใน Windows Remote Desktop ซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้

Fortinet แก้ไขช่องโหว่ร้ายแรงในหลายผลิตภัณฑ์

Fortinet ได้ออกประกาศด้านความปลอดภัยเกี่ยวกับช่องโหว่ร้ายแรงที่ส่งผลกระทบต่อผลิตภัณฑ์หลายรายการ รวมถึง FortiVoice, FortiMail, FortiNDR, FortiRecorder และ FortiCamera

ช่องโหว่นี้ ซึ่งเป็นการ Over-Flow ของ Buffer ที่ใช้ Stack ได้รับคะแนนความรุนแรง CVSS v4 ที่ 9.6 (CVSS v3.1: 9.8) ซึ่งบ่งชี้ถึงความรุนแรงที่สูง ช่องโหว่นี้สามารถถูกใช้ประโยชน์จากระยะไกลโดยผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องโดยการส่งคำขอ HTTP ที่มี Cookie Hash ที่สร้างขึ้นเป็นพิเศษ การใช้ประโยชน์ที่ประสบความสำเร็จอาจนำไปสู่การเรียกใช้โค้ดโดยพลการ ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างสมบูรณ์

การใช้ประโยชน์ที่สังเกตได้ใน FortiVoice

Fortinet ได้ยืนยันว่าได้สังเกตเห็นการใช้ประโยชน์จากช่องโหว่นี้ในอุปกรณ์ FortiVoice ผู้โจมตีได้สแกนเครือข่ายอุปกรณ์ ลบ System Crash Logs และเปิดใช้งาน fcgi Debugging เพื่อจับภาพข้อมูลรับรองที่ป้อนในระหว่างการเข้าสู่ระบบ System หรือ SSH

ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่นี้ ติดตามเป็น CVE-2025-32756 ส่งผลกระทบต่อเวอร์ชันผลิตภัณฑ์ต่อไปนี้ ขอแนะนำอย่างยิ่งให้อัปเกรดเป็นเวอร์ชันที่แก้ไขที่ระบุทันที:

FortiVoice:
- 7.2.0: อัปเกรดเป็น 7.2.1 หรือสูงกว่า
- 7.0.0 ถึง 7.0.6: อัปเกรดเป็น 7.0.7 หรือสูงกว่า
- 6.4.0 ถึง 6.4.10: อัปเกรดเป็น 6.4.11 หรือสูงกว่า
FortiRecorder:
- 7.2.0 ถึง 7.2.3: อัปเกรดเป็น 7.2.4 หรือสูงกว่า
- 7.0.0 ถึง 7.0.5: อัปเกรดเป็น 7.0.6 หรือสูงกว่า
- 6.4.0 ถึง 6.4.5: อัปเกรดเป็น 6.4.6 หรือสูงกว่า
FortiMail:
- 7.6.0 ถึง 7.6.2: อัปเกรดเป็น 7.6.3 หรือสูงกว่า
- 7.4.0 ถึง 7.4.4: อัปเกรดเป็น 7.4.5 หรือสูงกว่า
- 7.2.0 ถึง 7.2.7: อัปเกรดเป็น 7.2.8 หรือสูงกว่า
- 7.0.0 ถึง 7.0.8: อัปเกรดเป็น 7.0.9 หรือสูงกว่า
FortiNDR:
- 7.6.0: อัปเกรดเป็น 7.6.1 หรือสูงกว่า
- 7.4.0 ถึง 7.4.7: อัปเกรดเป็น 7.4.8 หรือสูงกว่า
- 7.2.0 ถึง 7.2.4: อัปเกรดเป็น 7.2.5 หรือสูงกว่า
- 7.1: ย้ายไปยังรุ่นที่แก้ไขแล้ว
- 7.0.0 ถึง 7.0.6: อัปเกรดเป็น 7.0.7 หรือสูงกว่า
- 1.1 ถึง 1.5: ย้ายไปยังรุ่นที่แก้ไขแล้ว
FortiCamera:
- 2.1.0 ถึง 2.1.3: อัปเกรดเป็น 2.1.4 หรือสูงกว่า
- 2.0: ย้ายไปยังรุ่นที่แก้ไขแล้ว
- 1.1: ย้ายไปยังรุ่นที่แก้ไขแล้ว

ตัวบ่งชี้การประนีประนอมและขั้นตอนการลดความเสี่ยง

Fortinet ได้ให้ตัวบ่งชี้การประนีประนอม (IOCs) ในการแจ้งเตือนด้านความปลอดภัยเพื่อช่วยให้องค์กรตรวจจับความพยายามในการใช้ประโยชน์ที่อาจเกิดขึ้น หากไม่สามารถแก้ไขได้ทันที Fortinet แนะนำให้ปิดใช้งานอินเทอร์เฟซการจัดการ HTTP/HTTPS ชั่วคราวเพื่อเป็นมาตรการลดความเสี่ยง

Ivanti แก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Endpoint Manager Mobile

Ivanti ได้ออกประกาศด้านความปลอดภัยเพื่อแก้ไขช่องโหว่สองช่องที่ส่งผลกระทบต่อโซลูชัน Endpoint Manager Mobile (EPMM) ช่องโหว่เหล่านี้ เมื่อเชื่อมโยงกัน สามารถนำไปสู่การเรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับการรับรองความถูกต้อง Ivanti ได้ระบุว่าช่องโหว่เกี่ยวข้องกับโค้ดโอเพนซอร์สที่ใช้ใน EPMM แทนที่จะเป็นโค้ดหลักของ Ivanti

รายละเอียดช่องโหว่

CVE-2025-4427 (ความรุนแรงปานกลาง): นี่คือข้อบกพร่องในการ Bypass การรับรองความถูกต้อง โดยมีคะแนนความรุนแรง CVSS v3.1 ที่ 5.3 ผู้โจมตีสามารถใช้ประโยชน์จากสิ่งนี้เพื่อ Bypass กลไกการรับรองความถูกต้องและเข้าถึงระบบโดยไม่ได้รับอนุญาต
ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (ความรุนแรงสูง): ช่องโหว่นี้มีคะแนนความรุนแรง CVSS v3.1 ที่ 7.2 ซึ่งบ่งชี้ถึงผลกระทบที่อาจเกิดขึ้นสูง ด้วยการใช้ประโยชน์จากข้อบกพร่องนี้ ผู้โจมตีสามารถเรียกใช้โค้ดโดยพลการบนระบบที่ได้รับผลกระทบจากระยะไกลได้

ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ

Ivanti Endpoint Mobile Manager เวอร์ชันต่อไปนี้ได้รับผลกระทบจากช่องโหว่เหล่านี้ อัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด:

Ivanti Endpoint Mobile Manager
- 11.12.0.4 และก่อนหน้า: อัปเกรดเป็น 11.12.0.5 และใหม่กว่า
- 12.3.0.1 และก่อนหน้า: อัปเกรดเป็น 12.3.0.2 และใหม่กว่า
- 12.4.0.1 และก่อนหน้า: อัปเกรดเป็น 12.4.0.2 และใหม่กว่า
- 12.5.0.0 และก่อนหน้า: อัปเกรดเป็น 12.5.0.1 และใหม่กว่า

กลยุทธ์การลดความเสี่ยง

Ivanti แนะนำอย่างยิ่งให้ผู้ใช้อัปเกรดเป็น EPMM เวอร์ชันล่าสุดโดยเร็วที่สุด อย่างไรก็ตาม ความเสี่ยงสามารถลดลงได้อย่างมากโดยการกรองการเข้าถึง API โดยใช้ Portal ACLs ในตัว หรือ Web Application Firewall (WAF) ภายนอก มาตรการเหล่านี้สามารถช่วยป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและการใช้ประโยชน์จากช่องโหว่

โดยสรุป ประกาศด้านความปลอดภัยล่าสุดจาก Microsoft, Fortinet และ Ivanti เน้นย้ำถึงความจำเป็นที่ต้องตื่นตัวและใช้มาตรการรักษาความปลอดภัยเชิงรุก องค์กรต้องจัดลำดับความสำคัญในการแก้ไขและดำเนินการตามวิธีแก้ไขปัญหาที่แนะนำเพื่อปกป้องตนเองจากช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่องเหล่านี้และการโจมตีที่อาจเกิดขึ้นในอนาคต การตรวจสอบประกาศด้านความปลอดภัยเป็นประจำและการจัดการกับความเสี่ยงที่ระบุไว้อย่างรวดเร็วเป็นองค์ประกอบสำคัญของท่าทีด้านความปลอดภัยที่แข็งแกร่ง ผลที่อาจเกิดขึ้นจากการไม่จัดการกับช่องโหว่เหล่านี้อาจรุนแรง ตั้งแต่การละเมิดข้อมูลและความสูญเสียทางการเงิน ไปจนถึงความเสียหายต่อชื่อเสียงและการหยุดชะงักทางธุรกิจ ความร่วมมือระหว่างผู้ขายและชุมชนความปลอดภัยเป็นสิ่งสำคัญยิ่งในการระบุและลดภัยคุกคามเหล่านี้ เพื่อให้มั่นใจถึงสภาพแวดล้อมดิจิทัลที่ปลอดภัยและมั่นคงยิ่งขึ้นสำหรับทุกคน

รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Microsoft

Microsoft ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ที่ได้รับผลกระทบในผลิตภัณฑ์ของตน รวมถึงขั้นตอนการบรรเทาผลกระทบที่ผู้ดูแลระบบสามารถดำเนินการได้เพื่อลดความเสี่ยงของการถูกโจมตี

Microsoft DWM Core Library (CVE-2025-30400)

ช่องโหว่นี้อยู่ใน Desktop Window Manager (DWM) Core Library ซึ่งเป็นส่วนประกอบสำคัญของระบบปฏิบัติการ Windows ที่จัดการการแสดงผลของหน้าต่างและกราฟิก ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จ จะสามารถยกระดับสิทธิ์ของตนเองไปสู่ระดับ SYSTEM ซึ่งจะทำให้พวกเขามีการควบคุมอย่างสมบูรณ์เหนือระบบที่ได้รับผลกระทบ สิ่งนี้อาจนำไปสู่การติดตั้งโปรแกรมที่เป็นอันตราย การดู การเปลี่ยนแปลง หรือการลบข้อมูล หรือการสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้เต็มรูปแบบ

Microsoft ได้แก้ไขช่องโหว่นี้ในการอัปเดตความปลอดภัยล่าสุดสำหรับการเผยแพร่ Patch Tuesday ขอแนะนำอย่างยิ่งให้ผู้ดูแลระบบติดตั้งการอัปเดตนี้โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่นี้

Windows Common Log File System (CVE-2025-32701 และ CVE-2025-32706)

Windows Common Log File System (CLFS) เป็นบริการบันทึกทั่วไปที่ใช้โดยส่วนประกอบต่างๆ ของระบบปฏิบัติการ Windows ช่องโหว่สองช่องแยกกันมีอยู่ใน CLFS ซึ่งอาจอนุญาตให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตนเองไปสู่ระดับ SYSTEM ได้สำเร็จ ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ได้ สามารถเรียกใช้โค้ดโดยพลการใน Kernel Mode ซึ่งอาจนำไปสู่การประนีประนอมระบบอย่างสมบูรณ์

Microsoft ได้แก้ไขช่องโหว่เหล่านี้ในการอัปเดตความปลอดภัยล่าสุดสำหรับการเผยแพร่ Patch Tuesday ขอแนะนำอย่างยิ่งให้ผู้ดูแลระบบติดตั้งการอัปเดตนี้โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่เหล่านี้

Windows Ancillary Function Driver (CVE-2025-32709)

ช่องโหว่มีอยู่ใน Windows Ancillary Function Driver ซึ่งเป็นไดรเวอร์เคอร์เนลที่ใช้โดยส่วนประกอบต่างๆ ของระบบปฏิบัติการ Windows ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จ จะสามารถยกระดับสิทธิ์ของตนเองไปสู่ระดับ SYSTEM ได้ ซึ่งจะทำให้พวกเขามีการควบคุมอย่างสมบูรณ์เหนือระบบที่ได้รับผลกระทบ สิ่งนี้อาจนำไปสู่การติดตั้งโปรแกรมที่เป็นอันตราย การดู การเปลี่ยนแปลง หรือการลบข้อมูล หรือการสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้เต็มรูปแบบ

Microsoft Scripting Engine (CVE-2025-30397)

ช่องโหว่การเสียหายของหน่วยความจำมีอยู่ใน Microsoft Scripting Engine ซึ่งเป็นส่วนประกอบที่ใช้เรียกใช้สคริปต์ในระบบปฏิบัติการ Windows ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จ จะสามารถเรียกใช้โค้ดโดยพลการในบริบทของผู้ใช้ปัจจุบัน ขอบเขตที่ผู้โจมตีสามารถดำเนินการได้นั้นขึ้นอยู่กับสิทธิ์ของผู้ใช้ปัจจุบัน หากผู้ใช้มีสิทธิ์ของผู้ดูแลระบบ ผู้โจมตีจะสามารถควบคุมระบบที่ได้รับผลกระทบได้

Microsoft Defender (CVE-2025-26685)

ช่องโหว่การปลอมแปลงข้อมูลประจำตัวมีอยู่ใน Microsoft Defender ซึ่งเป็นโซลูชันป้องกันไวรัสในตัวที่รวมอยู่ในระบบปฏิบัติการ Windows ผู้โจมตีที่อยู่ในเครือข่ายที่อยู่ติดกัน สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อปลอมแปลงบัญชีอื่น สิ่งนี้อาจอนุญาตให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนหรือดำเนินการในนามของผู้ใช้ที่ถูกปลอมแปลง

Visual Studio (CVE-2025-32702)

ช่องโหว่การเรียกใช้โค้ดจากระยะไกลมีอยู่ใน Visual Studio ซึ่งเป็นสภาพแวดล้อมการพัฒนาแบบบูรณาการ (IDE) ที่ใช้ในการสร้างแอปพลิเคชันซอฟต์แวร์ ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้อง สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้โค้ดในเครื่อง สิ่งนี้อาจอนุญาตให้ผู้โจมตีติดตั้งโปรแกรมที่เป็นอันตราย การดู การเปลี่ยนแปลง หรือการลบข้อมูล หรือการสร้างบัญชีใหม่ที่มีสิทธิ์ของผู้ใช้เต็มรูปแบบ

การลดความเสี่ยงเพิ่มเติมสำหรับช่องโหว่ Microsoft

นอกเหนือจากการติดตั้งการอัปเดตความปลอดภัยล่าสุดแล้ว มีขั้นตอนเพิ่มเติมที่ผู้ดูแลระบบสามารถดำเนินการได้เพื่อลดความเสี่ยงของการถูกโจมตีโดยช่องโหว่เหล่านี้:

เปิดใช้งานการบังคับใช้รหัส: การบังคับใช้รหัสเป็นคุณสมบัติความปลอดภัยที่ช่วยป้องกันการเรียกใช้โค้ดที่ไม่ได้รับอนุญาต อาจเป็นคุณสมบัติที่เปิดใช้อยู่ใน Windows Server และ Windows Client
ใช้หลักการของสิทธิ์น้อยที่สุด: หลักการของสิทธิ์น้อยที่สุดระบุว่าผู้ใช้ควรได้รับสิทธิ์ที่จำเป็นเท่านั้นในการทำงานให้สำเร็จ สิ่งนี้สามารถช่วยลดผลกระทบของการโจมตี หากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้ พวกเขาจะสามารถเข้าถึงข้อมูลและทรัพยากรที่ผู้ใช้ที่ถูกประนีประนอมมีสิทธิ์เข้าถึงได้เท่านั้น
ตรวจสอบระบบสำหรับกิจกรรมที่น่าสงสัย: ผู้ดูแลระบบควรตรวจสอบระบบของตนเป็นประจำสำหรับกิจกรรมที่น่าสงสัย เช่น ความพยายามในการเข้าสู่ระบบที่ผิดปกติ การเปลี่ยนแปลงไฟล์ที่ไม่คาดคิด หรือการปรากฏตัวของกระบวนการที่ไม่รู้จัก สิ่งนี้สามารถช่วยระบุและตอบสนองต่อการโจมตีอย่างรวดเร็ว
ให้ความรู้แก่ผู้ใช้เกี่ยวกับการหลอกลวงแบบฟิชชิ่งและมัลแวร์: ผู้ใช้ควรได้รับการศึกษาเกี่ยวกับความเสี่ยงของการหลอกลวงแบบฟิชชิ่งและมัลแวร์และวิธีการหลีกเลี่ยงการตกเป็นเหยื่อ การหลอกลวงแบบฟิชชิ่งมักใช้เพื่อหลอกให้ผู้ใช้เปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองการเข้าสู่ระบบ หรือเพื่อดาวน์โหลดไฟล์ที่เป็นอันตราย

ด้วยการทำตามขั้นตอนเหล่านี้ องค์กรสามารถลดความเสี่ยงของการถูกโจมตีโดยช่องโหว่ Microsoft ได้อย่างมาก

รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Fortinet

Fortinet ได้ให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ที่ได้รับผลกระทบในผลิตภัณฑ์ของตน รวมถึงตัวบ่งชี้การประนีประนอม (IOCs) ที่ผู้ดูแลระบบสามารถใช้เพื่อตรวจจับความพยายามในการใช้ประโยชน์ที่อาจเกิดขึ้น

ช่องโหว่ Stack-Based Buffer Over-Flow (CVE-2025-32756)

ช่องโหว่นี้มีอยู่ในหลายผลิตภัณฑ์ของ Fortinet รวมถึง FortiVoice, FortiMail, FortiNDR, FortiRecorder และ FortiCamera ช่องโหว่นี้เกิดจากการ Over-Flow ของ Buffer ที่ใช้ Stack ซึ่งสามารถถูกใช้ประโยชน์จากระยะไกลโดยผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องโดยการส่งคำขอ HTTP ที่มี Cookie Hash ที่สร้างขึ้นเป็นพิเศษ การใช้ประโยชน์ที่ประสบความสำเร็จอาจนำไปสู่การเรียกใช้โค้ดโดยพลการ ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ได้รับผลกระทบได้อย่างสมบูรณ์

ตัวบ่งชี้การประนีประนอม (IOCs)

Fortinet ได้ให้ IOCs ต่อไปนี้เพื่อช่วยให้องค์กรตรวจจับความพยายามในการใช้ประโยชน์ที่อาจเกิดขึ้น:

ที่อยู่ IP หรือชื่อโดเมนที่เกี่ยวข้องกับความพยายามในการโจมตี
รูปแบบในคำขอ HTTP ที่ส่งไปยังอุปกรณ์ที่ได้รับผลกระทบ
การปรากฏตัวของไฟล์ที่ไม่รู้จักหรือการเปลี่ยนแปลงในระบบ
การเปลี่ยนแปลงในการตั้งค่าบันทึกหรือการบันทึกกิจกรรม
กิจกรรมเครือข่ายที่น่าสงสัย เช่น การสื่อสารกับที่อยู่ IP หรือโดเมนที่ไม่รู้จัก

ขั้นตอนการลดความเสี่ยงเพิ่มเติมสำหรับช่องโหว่ Fortinet

นอกเหนือจากการติดตั้งการอัปเกรดที่ระบุแล้ว มีขั้นตอนเพิ่มเติมที่ผู้ดูแลระบบสามารถดำเนินการได้เพื่อลดความเสี่ยงของการถูกโจมตีโดยช่องโหว่นี้:

จำกัดการเข้าถึงอินเทอร์เฟซการจัดการ HTTP/HTTPS: หากเป็นไปได้ ให้จำกัดการเข้าถึงอินเทอร์เฟซการจัดการ HTTP/HTTPS เฉพาะที่อยู่ IP หรือเครือข่ายที่เชื่อถือได้

อัปเดตเมื่อ 2025-05-16

# GPT # RAG # Microsoft