CVE-2026-35616: FortiClient EMS ถูกโจมตีผ่านแพตช์ปลอมเพื่อปล่อย EKZ Infostealer

CVE-2026-35616: FortiClient EMS ถูกโจมตีผ่านแพตช์ปลอมเพื่อปล่อย EKZ Infostealer

ช่องโหว่ร้ายแรงใน FortiClient Endpoint Management Server ของ Fortinet กำลังถูกนำมาใช้โจมตีจริงในวงกว้าง โดยมีรหัส CVE-2026-35616 ภัยคุกคามนี้กำลังถูกใช้โดยผู้ไม่หวังดีเพื่อปล่อยมัลแวร์ EKZ Infostealer ผ่านวิธีการหลอกลวงที่แนบเนียน: แพตช์ซอฟต์แวร์ปลอม แคมเปญขโมยข้อมูลประจำตัวผ่านช่องโหว่ FortiClient EMS มุ่งเป้าไปที่องค์กรที่ใช้การจัดการอุปกรณ์ปลายทางแบบรวมศูนย์ เปลี่ยนโครงสร้างพื้นฐานด้านความปลอดภัยของตนเองให้กลายเป็นช่องทางโจมตี

สำหรับทีมไอทีและทีมความปลอดภัยที่ดูแลพนักงานที่กระจายตัวหรือทำงานระยะไกล ภัยนี้ไม่ใช่แค่ภัยคุกคามในทางทฤษฎี ห่วงโซ่การโจมตีถูกออกแบบให้ดูเหมือนถูกต้องตามปกติ ซึ่งเป็นสิ่งที่ทำให้เป็นอันตรายอย่างยิ่ง

CVE-2026-35616 กำลังถูกใช้ในการโจมตีอย่างไร

CVE-2026-35616 มีคะแนน CVSS 9.1 และทำให้เกิดการบายพาสการยืนยันตัวตนก่อนเข้าถึงระบบและยกระดับสิทธิ์ภายใน FortiClient EMS ในทางปฏิบัติ ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์จัดการได้โดยไม่ต้องมีข้อมูลประจำตัวที่ถูกต้องและรันคำสั่งด้วยระดับสิทธิ์ที่สูงขึ้น

สิ่งที่ทำให้แคมเปญนี้แตกต่างจากการโจมตีโดยใช้ช่องโหว่ทั่วไปคือชั้นเชิงวิศวกรรมสังคมที่ห่อหุ้มอยู่ ผู้ไม่หวังดีกำลังส่งแพตช์ปลอมที่ปลอมตัวเป็นการอัปเดตที่ถูกต้องให้กับซอฟต์แวร์ที่ได้รับผลกระทบ เมื่อผู้ดูแลระบบหรืออุปกรณ์ปลายทางที่ถูกจัดการประมวลผลแพตช์หลอกลวงนี้ มันจะรันคำสั่ง PowerShell ที่เป็นอันตรายอย่างเงียบ ๆ ในเบื้องหลัง ผู้เสียหายเห็นสิ่งที่ดูเหมือนการอัปเดตตามปกติ ผู้โจมตีกลับได้ช่องทางเข้าถึงระบบ

Fortinet ได้ออกแพตช์แก้ไขด่วน (hotfix) ในเดือนเมษายน หลังจากยืนยันว่าช่องโหว่นี้ถูกใช้เป็น ช่องโหว่ซีโร่เดย์ นั่นหมายความว่าการโจมตีเริ่มต้นขึ้นก่อนที่จะมีทางแก้ไข องค์กรที่ยังไม่ได้ติดตั้งแพตช์แก้ไขด่วนเหล่านี้ยังคงมีความเสี่ยง แต่แม้แต่สภาพแวดล้อมที่แพตช์แล้วก็อาจยังมีความเสี่ยงหากเหยื่อถูกหลอกให้ติดตั้งแพตช์ปลอมก่อนที่จะได้รับการแก้ไข

EKZ Infostealer ขโมยข้อมูลอะไรและใครคือกลุ่มเสี่ยง

เมื่อคำสั่ง PowerShell ที่เป็นอันตรายทำงาน มัลแวร์ EKZ Infostealer จะถูกปล่อยลงบนอุปกรณ์ปลายทางที่ถูกบุกรุก เป้าหมายหลักของมันคือการเก็บเกี่ยวข้อมูลประจำตัว มัลแวร์จะมุ่งเป้าไปที่ข้อมูลประจำตัวที่เก็บไว้ในเบราว์เซอร์ รวมถึงชื่อผู้ใช้และรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์ที่ใช้งานกันทั่วไป พร้อมกับข้อมูลละเอียดอ่อนอื่น ๆ ที่เข้าถึงได้บนเครื่องที่ถูกจัดการ

เนื่องจาก FortiClient EMS ถูกออกแบบมาเพื่อจัดการอุปกรณ์ปลายทางทั่วทั้งองค์กรจากคอนโซลเดียว การบุกรุกที่สำเร็จจึงไม่ส่งผลกระทบต่อเครื่องเพียงเครื่องเดียว ผู้โจมตีที่เข้ามาผ่านเซิร์ฟเวอร์ EMS อาจสามารถเข้าถึงอุปกรณ์ปลายทางทั้งหมดที่อยู่ภายใต้การจัดการของเซิร์ฟเวอร์นั้น ซึ่งทำให้รัศมีการระเบิดของเหตุการณ์การโจมตีจากช่องโหว่เพียงครั้งเดียวขยายใหญ่กว่าเหตุการณ์บุกรุกอุปกรณ์เดี่ยวอย่างมาก

องค์กรที่มีความเสี่ยงโดยตรงที่สุดคือองค์กรที่ใช้ FortiClient EMS เพื่อจัดการพนักงานที่ทำงานระยะไกลหรือแบบผสมผสาน ซึ่งอุปกรณ์ปลายทางกระจายอยู่ในเครือข่ายที่บ้าน สาขา และสภาพแวดล้อมอื่น ๆ ที่อยู่นอกขอบข่ายองค์กรแบบดั้งเดิม พนักงานที่ทำงานระยะไกลมักเก็บข้อมูลประจำตัวไว้ในเบราว์เซอร์เพื่อความสะดวก ทำให้อุปกรณ์ปลายทางเหล่านั้นเป็นเป้าหมายที่มีมูลค่าสูงสำหรับอินโฟสตีลเลอร์

เหตุใดเครื่องมือรักษาความปลอดภัยอุปกรณ์ปลายทางเพียงอย่างเดียวไม่เพียงพอสำหรับทีมที่ทำงานระยะไกล

มีความย้อนแย้งที่เจ็บปวดซ่อนอยู่ในแคมเปญนี้ FortiClient เองก็เป็นผลิตภัณฑ์รักษาความปลอดภัยอุปกรณ์ปลายทาง และเซิร์ฟเวอร์จัดการของมันกำลังถูกใช้เป็นกลไกนำส่งมัลแวร์ ซึ่งตอกย้ำหลักการที่กว้างขึ้นซึ่งทีมความปลอดภัยมักจะยอมรับในทางทฤษฎีแต่มีปัญหาในการนำไปปฏิบัติจริง: ไม่มีเครื่องมือความปลอดภัยเพียงตัวเดียวที่พอเพียงด้วยตัวเอง

แพลตฟอร์มความปลอดภัยอุปกรณ์ปลายทางเป็นองค์ประกอบที่มีคุณค่าของกลยุทธ์การป้องกัน แต่พวกมันก็เป็นซอฟต์แวร์ และซอฟต์แวร์ก็มีช่องโหว่ เมื่อเครื่องมือจัดการแบบรวมศูนย์ถูกบุกรุก มันสามารถลบล้างการป้องกันที่ควรจะบังคับใช้ได้ ผู้โจมตีเข้าใจเรื่องนี้ดี ซึ่งเป็นเหตุผลว่าทำไมอินเทอร์เฟซการจัดการและโครงสร้างพื้นฐานด้านความปลอดภัยจึงกลายเป็นเป้าหมายที่มีลำดับความสำคัญสูง

โดยเฉพาะสำหรับทีมที่ทำงานระยะไกล พื้นผิวการโจมตีขยายออกไปไกลกว่าอุปกรณ์ที่ถูกจัดการ การรับส่งข้อมูลเครือข่าย การส่งข้อมูลประจำตัว และการไหลของการยืนยันตัวตน ล้วนผ่านสภาพแวดล้อมที่องค์กรไม่ได้ควบคุมอย่างสมบูรณ์ การควบคุมหลายชั้น รวมถึงการป้องกันระดับเครือข่าย นโยบายการเข้าถึงแบบ Zero-Trust และแนวปฏิบัติด้านสุขอนามัยของข้อมูลประจำตัวที่เข้มแข็ง เป็นสิ่งที่จำเป็นเพื่อเสริมเครื่องมือความปลอดภัยอุปกรณ์ปลายทาง ไม่ใช่เป็นตัวเลือกเสริม

วิธีการนำส่งแพตช์ปลอมที่ใช้ในแคมเปญนี้ยังเน้นให้เห็นว่ากระบวนการอัปเดตเองก็สามารถถูกนำมาใช้ประโยชน์ได้ หากพนักงานหรือผู้ดูแลระบบถูกฝึกให้ติดตั้งแพตช์ตามที่ได้รับคำสั่ง ผู้โจมตีก็สามารถใช้พฤติกรรมนั้นเป็นอาวุธได้ การตรวจสอบความถูกต้องของแพตช์ผ่านช่องทางของผู้ผลิตอย่างเป็นทางการก่อนการติดตั้งเป็นขั้นตอนสำคัญที่แคมเปญนี้พยายามหลีกเลี่ยง

วิธีเสริมความแข็งแกร่งให้องค์กรของคุณต่อต้านการโจมตีด้วยแพตช์ปลอมและ Infostealer

สำหรับองค์กรที่ใช้ FortiClient EMS ลำดับความสำคัญทันทีคือการติดตั้งแพตช์แก้ไขด่วนอย่างเป็นทางการของ Fortinet ผ่านช่องทางอัปเดตที่ตรวจสอบแล้วเท่านั้น อย่าใช้ข้อความแจ้งหรือลิงก์ที่ส่งทางอีเมล แช็ต หรืออินเทอร์เฟซที่ไม่คุ้นเคย

นอกเหนือจากการแพตช์เร่งด่วน นี่คือขั้นตอนที่เป็นรูปธรรมซึ่งควรให้ความสำคัญ:

• ตรวจสอบอุปกรณ์ปลายทางที่ถูกจัดการเพื่อหาสัญญาณของการบุกรุก มองหาเหตุการณ์การรัน PowerShell ที่ผิดปกติ การเชื่อมต่อขาออกที่ผิดปกติ หรือร่องรอยของกิจกรรมการดึงข้อมูลประจำตัวในที่เก็บข้อมูลของเบราว์เซอร์
• จำกัดการเข้าถึงเซิร์ฟเวอร์จัดการ ไม่ควรอนุญาตให้ FortiClient EMS เปิดสู่เครือข่ายอินเทอร์เน็ตสาธารณะโดยไม่มีการควบคุมการเข้าถึงที่เข้มงวด จำกัดผู้ที่สามารถเข้าถึงอินเทอร์เฟซการจัดการและแหล่งที่มา
• บังคับใช้การยืนยันตัวตนแบบหลายปัจจัยในทุกจุดเชื่อมต่อระยะไกล ข้อมูลประจำตัวที่ถูกขโมยจากเบราว์เซอร์จะเป็นอันตรายมากที่สุดเมื่อมันให้การเข้าถึงระบบขององค์กรโดยตรง MFA จะตัดห่วงโซ่นั้น
• ให้ความรู้แก่ผู้ดูแลระบบเกี่ยวกับกลยุทธ์แพตช์ปลอม การโจมตีทางวิศวกรรมสังคมที่มุ่งเป้าไปที่พนักงานไอทีเพิ่มขึ้นเรื่อย ๆ ทีมที่เข้าใจกลวิธีมีโอกาสน้อยที่จะตกเป็นเหยื่อ
• ประเมินการควบคุมระดับเครือข่ายสำหรับอุปกรณ์ปลายทางระยะไกล เครื่องมือที่เข้ารหัสและยืนยันตัวตนทราffic จากอุปกรณ์ระยะไกลเพิ่มชั้นการป้องกันที่เสริมการรักษาความปลอดภัยอุปกรณ์ปลายทาง โดยเฉพาะอย่างยิ่งเมื่อเครื่องมือความปลอดภัยอุปกรณ์ปลายทางเองถูกบุกรุก

แคมเปญ CVE-2026-35616 เป็นเครื่องเตือนใจว่าการเข้าใจความแตกต่างระหว่างช่องโหว่ที่ถูกแพตช์แล้วกับภัยคุกคามที่ถูกลดทอนอย่างสมบูรณ์นั้นสำคัญ แม้หลังจากติดตั้งแพตช์แก้ไขด่วนแล้ว องค์กรจำเป็นต้องตรวจสอบว่าการหลอกลวงด้วยแพตช์ปลอมอาจถูกดำเนินการไปแล้วในสภาพแวดล้อมของตนเองหรือไม่ จังหวะเวลาในการแพตช์และการควบคุมเสริมเป็นส่วนหนึ่งของสมการทั้งคู่ ซึ่งเป็นเหตุผลว่าทำไมกรอบการทำงานด้านความปลอดภัยจึงมองการป้องกันอุปกรณ์ปลายทางเป็นชั้นหนึ่งในหลายชั้นมากขึ้นเรื่อย ๆ แทนที่จะเป็นโซลูชันที่ครบถ้วนเพียงลำพัง

หากองค์กรของคุณจัดการพนักงานที่ทำงานระยะไกล ตอนนี้เป็นช่วงเวลาที่ดีในการตรวจสอบไม่เพียงแค่การปรับใช้ FortiClient EMS ของคุณเท่านั้น แต่ยังรวมถึงกลยุทธ์การรักษาความปลอดภัยหลายชั้นที่กว้างขึ้นของคุณด้วย การค้นพบช่องว่างก่อนที่แคมเปญถัดไปจะใช้ประโยชน์จากมันเป็นสถานะที่ดีกว่าการตอบสนองหลังจากข้อมูลประจำตัวถูกขโมยไปแล้ว