mobile-logo

พบ Firewall FortiGate กว่า 10,000 เครื่องไม่แพตช์ช่องโหว่ 2FA Bypass

05 Jan

พบ Firewall FortiGate กว่า 10,000 เครื่องไม่แพตช์ช่องโหว่ 2FA Bypass

by Monster Online
in Blog
Comments

แม้จะเข้าสู่ปี 2026 แล้ว แต่ “ช่องโหว่เก่า” บางตัวกลับยังสร้างความเสี่ยงใหม่ได้ทุกวัน โดยเฉพาะในอุปกรณ์ขอบเครือข่ายอย่าง FortiGate ที่หลายองค์กรใช้งานเป็นด่านหน้า หากยังเปิด SSL-VPN และยังไม่อัปเดตแพตช์อย่างถูกต้อง โอกาสที่ผู้โจมตีจะ “ข้าม 2FA” เพื่อเข้าถึงระบบภายในก็ยังเกิดขึ้นได้จริง และที่น่ากังวลคือจำนวนอุปกรณ์ที่ยังเปิดเสี่ยงอยู่ยังมีมากกว่า 10,000 เครื่องทั่วโลกตามการติดตามของ Shadowserver

 

Fortinet Firewalls Exposed

 
 
 

ภาพรวมความเสี่ยง: ทำไมช่องโหว่ปี 2020 ยัง “ย้อนกลับมาหลอก” ในปี 2026

ประเด็นนี้เกี่ยวข้องกับช่องโหว่ CVE-2020-12812 ใน FortiOS SSL-VPN ซึ่งถูกเปิดเผยและมีแพตช์มานานแล้ว แต่กลับพบว่าอุปกรณ์จำนวนมากยังคงอยู่ในสถานะเสี่ยงในโลกความจริง สาเหตุหลักไม่ใช่เพราะเทคโนโลยีซับซ้อนขึ้น แต่เป็นเพราะ “ระบบไม่ถูกอัปเดต” และ “คอนฟิกเดิมยังถูกใช้งานต่อเนื่อง” รวมถึงบางองค์กรมีข้อจำกัดเรื่องการหยุดบริการ ทำให้เลื่อนการอัปเกรดไปเรื่อย ๆ จนกลายเป็นช่องทางที่ผู้โจมตีใช้ซ้ำได้

 
 

CVE-2020-12812 คืออะไร และโจมตีได้อย่างไรในมุมของผู้ใช้งานจริง

จุดสำคัญของ CVE-2020-12812 คือ “การข้ามการยืนยันตัวตนขั้นที่สอง (2FA/MFA)” ในบางเงื่อนไขของ SSL-VPN โดยแนวคิดการโจมตีถูกอธิบายแบบเข้าใจง่ายมาก: ผู้โจมตีใช้ชื่อผู้ใช้จริง แต่เปลี่ยนตัวพิมพ์เล็ก/ใหญ่ของ username (เช่น user เป็น User) แล้วระบบบางชุดจะยืนยันตัวตนผ่านได้โดยไม่ถูกถาม OTP ในจังหวะที่ควรถาม 2FA โดยจากรายงานข่าวและการอัปเดตของผู้ให้บริการติดตามภัยคุกคาม สิ่งที่ทำให้ช่องโหว่นี้ “อันตรายกว่าเดิม” คือมันไม่ใช่แค่ทฤษฎี แต่มีการพบการใช้งานโจมตีจริงในช่วงปลายปี 2025 และยังต่อเนื่องมาถึงต้นปี 2026 ซึ่งหมายความว่าองค์กรที่ยังเปิด SSL-VPN และยังอยู่ในเวอร์ชัน/คอนฟิกที่เข้าข่าย ยังคงมีความเสี่ยงเชิงปฏิบัติการทันที

 
 

ตัวเลขล่าสุดจาก Shadowserver: มากกว่า 10,000 เครื่องยังเปิดเสี่ยง และไทยก็มีอยู่ในรายการ

Shadowserver ระบุว่าได้เพิ่มรายการตรวจจับ Fortinet SSL-VPN CVE-2020-12812 เข้าไปในรายงานประจำวัน (Vulnerable HTTP Report) เพื่อสะท้อนภาพการเปิดบริการที่เข้าข่ายเสี่ยงบนอินเทอร์เน็ต และย้ำว่าผ่านมากว่า 5 ปีครึ่งแล้ว แต่ยังพบอุปกรณ์ที่ไม่ได้แพตช์มากกว่า 10,000 เครื่อง จากภาพสถิติที่อัปเดต (เงื่อนไข “Last day” และแท็ก CVE-2020-12812) จะเห็นภาพกระจุกตัวของอุปกรณ์ที่เข้าข่ายเสี่ยงในหลายประเทศ โดยตัวเลขสำคัญที่ควรหยิบมาพิจารณาในเชิงบริหารความเสี่ยง ได้แก่ สหรัฐอเมริกา ~1.3K, ไต้หวัน 728, จีน 466, ญี่ปุ่น 462 และที่สำคัญคือ ประเทศไทย 395 ซึ่งสะท้อนว่าประเทศไทยยังมีอุปกรณ์ที่ถูกตรวจพบว่าเปิดบริการในลักษณะเข้าข่ายเสี่ยงอยู่ในระดับที่มองข้ามไม่ได้ ตัวเลขเหล่านี้ไม่ได้มีไว้เพื่อ “ชี้ว่าใครแย่กว่าใคร” แต่มีไว้เพื่อเตือนว่าเมื่ออุปกรณ์ขอบเครือข่ายยังเปิดหน้าบ้าน และยังคงมีรอยต่อของการตั้งค่าที่เสี่ยง ช่องโหว่เก่าก็สามารถกลายเป็นจุดเริ่มต้นของเหตุการณ์ใหญ่ได้เสมอ

 
 

เหตุผลที่องค์กรยังพลาด: แพตช์มีแล้ว แต่ความจริงคือ “ระบบยังไม่พร้อมเปลี่ยน”

ในงานภาคสนาม มักพบเหตุผลซ้ำ ๆ ที่ทำให้ FortiGate ยังอยู่ในเวอร์ชัน/คอนฟิกที่เข้าข่าย CVE-2020-12812 แม้จะทราบข่าวแล้ว เช่น การยึดติดกับเวอร์ชันเดิมเพราะกลัวกระทบผู้ใช้ระยะไกล, การไม่อยากแตะต้อง SSL-VPN ที่ใช้งานอยู่ทุกวัน, หรือแม้แต่ “ไม่มีสัญญาณเตือน” เพราะยังไม่เคยเกิดเหตุ ทำให้ประเมินความเสี่ยงต่ำกว่าความจริง อีกจุดที่องค์กรควรระวังคือการมองว่า “มี 2FA แล้วปลอดภัย” โดยอัตโนมัติ เพราะกรณีนี้เป็นตัวอย่างชัดเจนว่า เมื่อช่องโหว่ทำให้ขั้นตอน 2FA ถูกข้ามได้ ความมั่นใจที่เคยมีอาจกลายเป็นจุดอ่อนเชิงกระบวนการแทน

 
 

แนวทางเร่งด่วนที่ควรทำทันทีสำหรับทีมไอที/ความปลอดภัย

หากองค์กรยังจำเป็นต้องใช้ SSL-VPN ต่อเนื่อง สิ่งสำคัญคือทำให้ “ความเสี่ยงลดลงทันที” ก่อน แล้วค่อยจัดระเบียบแผนปรับปรุงระยะยาวตามลำดับความสำคัญ โดยแนวทางที่ควรเริ่มทำ (และทำได้จริงในบริบทองค์กร) มีดังนี้

  • ตรวจสอบเวอร์ชัน FortiOS และสถานะการอัปเดตให้ชัดเจน โดยโฟกัสกลุ่มที่เปิด SSL-VPN ออกอินเทอร์เน็ต
  • ทบทวนรูปแบบการยืนยันตัวตนและการผูก LDAP/กลุ่มผู้ใช้ โดยเฉพาะรูปแบบที่ทำให้เกิดพฤติกรรม “ยืนยันผ่าน แต่ไม่ถาม 2FA”
  • ลดพื้นผิวการโจมตี: ปิด SSL-VPN หากไม่จำเป็น หรือจำกัดการเข้าถึงด้วยการอนุญาตเฉพาะ IP ที่ไว้ใจได้
  • เพิ่มการเฝ้าระวัง: ตรวจ log ความพยายามล็อกอินที่มีการสลับตัวพิมพ์เล็ก/ใหญ่ของ username และพฤติกรรมผิดปกติจากแหล่งอินเทอร์เน็ต

ประเด็นสำคัญคือ “อย่ารอให้เกิดเหตุแล้วค่อยทำ” เพราะเมื่อเป็นช่องโหว่ในอุปกรณ์ด่านหน้า ต้นทุนของเหตุการณ์จะขยายเร็วกว่าเหตุการณ์ปลายทางเสมอ ทั้งในมิติการหยุดชะงักของธุรกิจ การรั่วไหลของข้อมูล และความเสียหายด้านความเชื่อมั่น

 
 

บทเรียนสำหรับปี 2026: ช่องโหว่เก่าไม่ได้น่ากลัวเพราะ “ใหม่” แต่น่ากลัวเพราะ “ยังอยู่”

เรื่องนี้สะท้อนบทเรียนเชิงบริหารที่ชัดเจนมาก: ภัยคุกคามไม่ได้ชนะเพราะเทคนิคใหม่เสมอไป แต่ชนะเพราะองค์กรยังมี “สิ่งเก่าที่ไม่ได้ปิด” ให้โจมตีได้เรื่อย ๆ การจัดการแพตช์และคอนฟิกของอุปกรณ์ขอบเครือข่ายควรถูกยกระดับเป็นวาระสำคัญเทียบเท่ากับการป้องกันมัลแวร์ปลายทาง หากต้องการทำให้เป็นระบบ แนะนำให้มอง FortiGate และบริการรีโมตแอ็กเซสเป็น “สินทรัพย์วิกฤต” ที่ต้องมีรอบทบทวนอย่างสม่ำเสมอ ทั้งการอัปเดตเวอร์ชัน การตรวจ exposure และการทดสอบการยืนยันตัวตนจริง (ไม่ใช่แค่เช็กว่าเปิด 2FA แล้ว) เพื่อให้ปี 2026 เป็นปีที่องค์กรลดความเสี่ยงจากช่องโหว่เดิมได้อย่างเป็นรูปธรรม

 
 

Reference

Baran, G. (2026, January 2). 10,000+ Fortinet firewalls still exposed to 5-year old MFA bypass vulnerability. Cyber Security News. https://cybersecuritynews.com/fortinet-firewalls-exposed/

The Shadowserver Foundation. (2026, January 2). We added Fortinet SSL-VPN CVE-2020-12812 to our daily Vulnerable HTTP Report… [Post]. X (formerly Twitter). https://x.com/Shadowserver/status/2007045654787616791

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line: @monsteronline

☎️ Tel: 02-026-6664

📩 Email: [email protected]

🌐 ดูสินค้าเพิ่มเติม: mon.co.th

Tags:
,,,,,
Monster Online
Monster Online