เตือนพบการโจมตีที่แพตช์ไม่สมบูรณ์ใน FortiOS ขอให้ผู้ใช้ตรวจสอบการใช้งาน

ผู้ใช้งาน Fortinet รายหนึ่งได้บังเอิญพบพฤติกรรมที่ตรงกับเหตุโจมตีที่ควรถูกแพตช์ไปแล้ว(CVE-2025-59718) แต่เมื่อสืบความไปกับทีม Fortinet ก็มีการยอมรับว่าแพตช์ FortiOS ปัจจุบัน 7.4.9 ยังไม่ได้แก้ปัญหาช่องโหว่นี้ได้สมบูรณ์

เรื่องราวก็คือมีผู้ใช้ FortiGate รายหนึ่งได้พบเห็นการทำ SSO Login ที่ไม่พึงประสงค์จาก SIEM พบสืบต่อก็พบว่าเป็นช่องทางที่ตรงกับการโจมตีช่องโหว่ของ CVE-2025-59718 ตามที่ผู้เชี่ยวชาญให้ข้อมูลไว้ ทั้งๆที่ระบบของเขาก็อัปเดตเป็นเวอร์ 7.4.9 ซึ่งอ้างถึงการแพตช์ช่องโหว่นี้ไปแล้ว จึงย้อนแย้งว่าทำไปคนร้ายยังพุ่งเป้าช่องโหว่ Authentication Bypass นี้เข้ามาได้ ตามไปสุดท้าย Fortinet ก็ยืนยันว่าแม้กระทั่ง FortiOS 7.4.10 ก็ไม่ได้มีการแก้ไขช่องโหว่อย่างสมบูรณ์

สำหรับผู้ใช้เอาไงต่อ?

จากข้อมูลของ Fortinet พบว่าฟีเจอร์ FortiCloud single sign-on (SSO) ที่เป็นต้นตอไม่ได้เป็นค่าพื้นฐานหากไม่ได้ลงทะเบียน FortiCare ไว้ โดยเมื่อกลางเดือนธันวาคม 2025 จำนวนอุปกรณ์ Fortinet ที่เข้าถึงได้ผ่านอินเทอร์เน็ตและเปิด FortiCloud SSO ไว้จะมีจำนวนถึง 25,000 เครื่องแต่ปัจจุบันถูกแก้ไขไปเหลือเพียง 11,000 อุปกรณ์แล้ว

วิธีการปิด FortiCloud single sign-on (SSO) สามารถทำได้โดยเข้าไปที่ System -> Settings เพื่อสั่งปิด FortiCloud SSO หรือใช้คำสั่งว่า 1. config system global 2. set admin-forticloud-sso-login disable 3. end

อีกด้านหนึ่งทาง Fortinet เองก็เตรียมออกแพตช์ FortiOS 7.4.11, 7.6.6 และ 8.0.0 ที่จะอุดช่องโหว่นี้สมบูรณ์ในไม่กี่วันข้างหน้า

ที่มา : https://www.bleepingcomputer.com/news/security/fortinet-admins-report-patched-fortigate-firewalls-getting-hacked/