หน้าแรกบริการผลงานบทความเกี่ยวกับเรา
เครื่องมือ
Network ToolsShop
ขอใบเสนอราคา 096-321-7414
Knowledge Base
Knowledge BaseReferenceSecurity AdvisoriesCVE-2026-35616: FortiClient EMS Pre-Auth Bypass — Patch ด่วน
ReferenceSecurity Advisoriesintermediate

CVE-2026-35616: FortiClient EMS Pre-Auth Bypass — Patch ด่วน

ช่องโหว่ระดับ critical ใน FortiClient EMS ถูก exploit จริงในวงกว้าง CISA สั่ง patch ภายในศุกร์นี้ ตรวจสอบและอุดรอยรั่วก่อนถูกยึดระบบ

A
Apinan
C9NETWORK Editor
17 พฤษภาคม 2569
7 นาที
0cveforticlient-emsfortinetkevsecurity-advisory

สรุป incident#

วันจันทร์ที่ผ่านมา CISA เพิ่ม CVE-2026-35616 ของ Fortinet เข้า Known Exploited Vulnerabilities Catalog (KEV) พร้อมสั่งหน่วยงาน federal สหรัฐฯ patch ให้เสร็จภายในวันศุกร์ที่ 9 เมษายน 2026 เป็น deadline ที่สั้นกว่ามาตรฐาน 21 วันมาก สะท้อนระดับความรุนแรงโดยตรง

ช่องโหว่อยู่ใน FortiClient Enterprise Management Server (EMS) ระบบที่องค์กรขนาดกลาง-ใหญ่ใช้ deploy และคุม FortiClient ทั่วองค์กร ตัวช่องโหว่เป็น pre-authentication API access bypass — ผู้โจมตีจากภายนอกส่ง request พิเศษข้ามขั้น authenticate แล้วเข้าถึง internal API ได้ทันที โดยไม่ต้องใช้ credential

Fortinet ยืนยันว่า มี exploitation in-the-wild แล้ว และเร่งให้ลูกค้าที่อยู่ในเวอร์ชันที่ได้รับผลกระทบติดตั้ง hotfix ทันที ผู้ค้นพบคือทีม Defused ที่ดักการโจมตีจริงผ่าน honeypot ก่อน vendor ออก patch ทำให้กรณีนี้ถือเป็น zero-day ในทางเทคนิค

รายละเอียดช่องโหว่#

CVE-2026-35616 เป็นช่องโหว่ improper access control ที่ unauthenticated attacker ส่ง HTTP request ที่ crafted มาเป็นพิเศษไปยัง endpoint บางตัวของ FortiClient EMS API แล้วได้ response กลับมาเหมือนเป็นผู้ใช้ที่ผ่าน authentication แล้ว ต้นเหตุคือ middleware ที่ตรวจ session token ไม่ validate request บางประเภทอย่างถูกต้อง

ผลกระทบเมื่อ exploit สำเร็จ:

  • ดึง configuration ของ endpoint ทุกตัวที่ EMS บริหารอยู่
  • เข้าถึง user/device inventory และ policy ที่ deploy ทั้งหมด
  • ในบาง chain ยกระดับไปสู่ remote code execution บน server ที่รัน EMS
  • ใช้ EMS เป็น pivot point push malicious configuration หรือ certificate ลง endpoint ที่บริหารอยู่ — เท่ากับ compromise endpoint ทั้งฝูงในครั้งเดียว

เวอร์ชันที่ได้รับผลกระทบ:

  • FortiClient EMS 7.4.5
  • FortiClient EMS 7.4.6

เวอร์ชันที่ปลอดภัย:

  • FortiClient EMS 7.4.7 ขึ้นไป
  • หรือ emergency hotfix สำหรับ 7.4.5 และ 7.4.6 ที่ Fortinet ปล่อยช่วงสุดสัปดาห์ที่ผ่านมา

ที่น่ากังวลเพิ่ม: ไม่กี่เดือนก่อน FortiClient EMS เพิ่ง patch ช่องโหว่ critical อีกตัวคือ CVE-2026-21643 (กุมภาพันธ์ 2026) ที่ถูก exploit จริงเช่นกัน — attack surface นี้กำลังเป็นเป้าหมายต่อเนื่องของ threat actor

Indicators of exploitation#

ถ้าองค์กรคุณ deploy FortiClient EMS อยู่ ตรวจสัญญาณต่อไปนี้:

  • HTTP access log ที่มี request ไปยัง API เช่น /api/v1/ หรือ /ems/api/ ตอบ status 200 แต่ไม่มี session cookie หรือ Authorization header ใน request เดิม
  • User-Agent ผิดปกติ เช่น curl, python-requests หรือ string ที่เป็น random hex จาก IP ภายนอก
  • Burst request หลายร้อย request จาก IP เดียวในช่วงสั้น ๆ พยายาม enumerate endpoint
  • Process ผิดปกติ บน server เช่น cmd.exe, powershell.exe, sc.exe ที่ spawn โดย parent เป็น EMS service (FCTSchdSvr.exe หรือ FmgrDaemon.exe)
  • บัญชี admin ใหม่ หรือ policy ที่ถูกแก้โดยไม่ทราบที่มา
  • Outbound connection จาก EMS server ออกไป IP ต่างประเทศที่ไม่เคยมีมาก่อน โดยเฉพาะบน port 443 หรือ port สูง ๆ ที่อาจเป็น C2

ขั้นตอน mitigation#

ขั้นที่ 1 — Patch ทันที (แนะนำสูงสุด)

อัปเกรด FortiClient EMS เป็น 7.4.7 หรือสูงกว่า หรืออย่างน้อยติดตั้ง hotfix ของ 7.4.5 และ 7.4.6 ผ่าน Fortinet Support Portal

ขั้นที่ 2 — Workaround ชั่วคราว (กรณียัง patch ไม่ได้)

  • Block public access ของ EMS management interface จาก internet ทันที — โดยปกติ EMS ไม่ควร expose ออก public อยู่แล้ว
  • จำกัด access ด้วย IP allowlist ที่ firewall ให้เฉพาะ subnet ของ admin หรือ jump host เข้าถึงได้
  • บังคับให้เข้า EMS ผ่าน VPN หรือ ZTNA gateway เท่านั้น
  • Shutdown EMS service ชั่วคราว ถ้าไม่ได้ใช้งานประจำ จนกว่าจะ patch เสร็จ

ขั้นที่ 3 — Post-patch verification

  • รัน full audit admin account, policy และ certificate ทั้งหมดบน EMS
  • เปลี่ยน credential admin ทุกบัญชี
  • ตรวจ FortiClient endpoint ที่บริหารอยู่ว่ามี configuration หรือ certificate ผิดปกติหรือไม่
  • เก็บ log ย้อนหลังอย่างน้อย 90 วันเพื่อ forensic analysis
⚠️ ข้อควรระวัง

Shadowserver รายงานว่ามี FortiClient EMS instance exposed ออก internet ประมาณ 2,000 ตัวทั่วโลก กระจุกตัวในสหรัฐฯ และยุโรปกว่า 1,400 IP ส่วนประเทศไทยที่ deploy Fortinet หนักในภาครัฐ การเงิน และโรงพยาบาล มีแนวโน้มสูงที่จะมี EMS instance exposed อีกหลายสิบถึงร้อยตัว องค์กรที่ใช้ FortiClient EMS ควรนับตัวเองอยู่ในกลุ่มเสี่ยงสูงและ patch ทันที

Tip

วิธีเช็กว่า EMS ของเรา exposed หรือไม่:

  1. Shodan query — ค้น http.title:"FortiClient Endpoint Management Server" หรือ product:"FortiClient EMS" ใส่ country filter country:TH เพื่อกรองเฉพาะ IP ในไทย
  2. Internal asset scan — ใช้ Nmap สแกน port 443, 8013, 10443 บน subnet ที่ host EMS แล้วเทียบ response signature
  3. External attack surface monitoring — มี EASM tool อย่าง Censys หรือ RiskIQ ให้ filter หา service ของ FortiClient EMS ที่ผูกกับโดเมนองค์กร
  4. Quick check จาก browser — ลองเข้า https://<ems-fqdn>/ จากเครือข่ายภายนอก ถ้าเจอหน้า login ของ EMS = exposed อยู่

Timeline และแหล่งข้อมูลเพิ่มเติม#

  • ก่อน 4 เม.ย. 2026 — ทีม Defused ตรวจจับการ exploitation in-the-wild ผ่าน honeypot
  • สุดสัปดาห์ 4-5 เม.ย. 2026 — Fortinet ปล่อย emergency hotfix
  • 6 เม.ย. 2026 (จันทร์) — CISA เพิ่ม CVE-2026-35616 เข้า KEV catalog
  • 9 เม.ย. 2026 (ศุกร์) — Deadline สำหรับหน่วยงาน federal สหรัฐฯ ในการ patch

แหล่งข้อมูลอ้างอิง:

  • CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • Fortinet PSIRT Advisory: https://www.fortiguard.com/psirt
  • Shadowserver Dashboard: https://dashboard.shadowserver.org
  • BleepingComputer original report

องค์กรในไทยที่ยังไม่แน่ใจสถานะ EMS ของตัวเอง ควรติดต่อทีม IT security หรือ MSSP เข้า assessment ทันที deadline ของ federal เป็นแค่ตัวชี้ urgency — การโจมตีจริงไม่รอใคร และถ้า FortiClient EMS ถูกยึด เท่ากับ attacker ถือ key สู่ทุก endpoint ในองค์กรในคราวเดียว

← กลับไปรายการบทความ
โดย Apinan