Fortinet ได้เปิดเผยช่องโหว่ Cross-Site Scripting (XSS) ระดับสูงในแพลตฟอร์ม FortiSandbox (CVE-2025-52436, FG-IR-25-093) ซึ่งอนุญาตให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันคำสั่ง arbitrary commands บนระบบที่ได้รับผลกระทบ ช่องโหว่นี้เกิดจากการจัดการอินพุตที่ไม่เหมาะสมในส่วนติดต่อผู้ใช้แบบกราฟิก (GUI) และมีคะแนนความรุนแรง 7.9 การโจมตีสามารถนำไปสู่การรันโค้ดจากระยะไกล (RCE) ซึ่งอาจส่งผลให้เกิดการขโมยข้อมูล การเคลื่อนที่ในระบบ หรือการหลีกเลี่ยงการตรวจจับมัลแวร์ในแซนด์บ็อกซ์
Severity: สูง
System Impact:
- FortiSandbox platform (PaaS deployments)
- FortiSandbox PaaS versions 5.0.0 to 5.0.1
- FortiSandbox PaaS versions 4.4.0 to 4.4.7
- FortiSandbox PaaS versions 4.2 (All versions)
- FortiSandbox PaaS versions 4.0 (All versions)
Technical Attack Steps:
- ผู้โจมตีสร้างคำขอที่เป็นอันตราย (malicious requests) ซึ่งมักจะผ่านปุ่มย้อนกลับของเบราว์เซอร์หรือพารามิเตอร์ที่ถูกบิดเบือน.
- คำขอที่เป็นอันตรายจะฉีด JavaScript ที่สามารถรันได้ลงในส่วน GUI ของ FortiSandbox เนื่องจากมีการ sanitization input ที่ไม่เหมาะสม.
- เมื่อผู้ดูแลระบบ (victim) โต้ตอบกับหน้าเว็บที่ถูกแก้ไข, สคริปต์ที่เป็นอันตรายจะทำงาน.
- การทำงานของสคริปต์นำไปสู่การรันโค้ดจากระยะไกล (RCE), ทำให้ผู้โจมตีสามารถเข้าถึงและควบคุม command-line บนระบบที่ได้รับผลกระทบ.
Recommendations:
Short Term:
- อัปเกรด FortiSandbox PaaS เป็นเวอร์ชัน 5.0.2 หรือสูงกว่า สำหรับซีรีส์ 5.0
- อัปเกรด FortiSandbox PaaS เป็นเวอร์ชัน 4.4.8 หรือสูงกว่า สำหรับซีรีส์ 4.4
- สำหรับซีรีส์ 4.2 และ 4.0 ให้ย้ายไปใช้เวอร์ชันที่มีการแก้ไข (migrate to fixed release)
- ลดความเสี่ยงโดยการแบ่งเครือข่าย (network segmentation) เพื่อจำกัดการเข้าถึง GUI
Long Term:
- ให้ความสำคัญกับการอัปเดตแพตช์ความปลอดภัยอย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ที่ค้นพบใหม่
- ตรวจสอบและปรับปรุงการตรวจสอบความปลอดภัยของอินพุตบนแพลตฟอร์มองค์กรอย่างต่อเนื่องเพื่อป้องกันช่องโหว่ XSS ที่อาจเกิดขึ้นในอนาคต
- จำกัดการเข้าถึงส่วน GUI ของระบบ FortiSandbox เฉพาะผู้ใช้ที่จำเป็นและมีสิทธิ์เท่านั้น
Source: https://cybersecuritynews.com/fortisandbox-xss-vulnerability/
Share this content: