Fortinet บล็อก FortiCloud SSO หลังพบช่องโหว่ Zero-day ถูกโจมตีจริง

January 28, 2026 Cybersecurity, Fortinet, Products, Threats Update

Fortinet ยืนยันการค้นพบช่องโหว่ Zero-day ระดับ Critical บน FortiCloud SSO ที่ถูกโจมตีจริงแล้ว และได้บล็อกการเชื่อมต่อ SSO จากอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่เป็นการชั่วคราวระหว่างรอแพตช์

ช่องโหว่ CVE-2026-24858 เป็นช่องโหว่ประเภท Authentication Bypass ที่มีค่า CVSS score 9.4 เกิดจากปัญหา Improper Access Control ใน FortiCloud SSO ทำให้ผู้โจมตีที่มีบัญชี FortiCloud และอุปกรณ์ที่ลงทะเบียนแล้วสามารถเข้าถึง FortiOS, FortiManager และ FortiAnalyzer ของลูกค้ารายอื่นได้ แม้อุปกรณ์เหล่านั้นจะอัปเดตแพตช์ล่าสุดแล้วก็ตาม การโจมตีครั้งนี้เริ่มถูกรายงานเมื่อวันที่ 21 มกราคม โดยผู้ดูแลระบบพบว่าแฮกเกอร์สร้างบัญชี admin ใหม่ผ่าน FortiCloud SSO บนอุปกรณ์ที่ใช้ firmware เวอร์ชันล่าสุด ซึ่งเดิมคาดว่าเป็นการ bypass แพตช์ของช่องโหว่ CVE-2025-59718 ที่แก้ไขไปเมื่อเดือนธันวาคม 2025

บริษัทด้านความปลอดภัย Arctic Wolf ยืนยันว่าการโจมตีเป็นแบบอัตโนมัติ โดยแฮกเกอร์สร้างบัญชี admin และบัญชี VPN ใหม่ พร้อมดึงข้อมูล configuration ภายในไม่กี่วินาที Fortinet ระบุว่าแม้ขณะนี้พบการโจมตีผ่าน FortiCloud SSO เท่านั้น แต่ช่องโหว่นี้มีผลกับการใช้งาน SAML SSO ทุกรูปแบบด้วย บัญชีที่ใช้ในการโจมตีคือ cloud-noc@mail.io และ cloud-init@mail.io ซึ่งถูกระงับแล้วเมื่อวันที่ 22 มกราคม หลังจากเจาะระบบได้ แฮกเกอร์จะดาวน์โหลด config file และสร้างบัญชี admin ชื่อต่างๆ เช่น audit, backup, itadmin, secadmin, support เป็นต้น

Fortinet ดำเนินการบรรเทาผลกระทบตามลำดับ โดยวันที่ 22 มกราคมระงับบัญชีที่ถูกใช้โจมตี วันที่ 26 มกราคมปิด FortiCloud SSO ทั่วโลกชั่วคราว และวันที่ 27 มกราคมเปิดให้ใช้งานอีกครั้งแต่บล็อกอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่ไม่ให้ login ผ่าน SSO ได้ การเปลี่ยนแปลงนี้ทำจากฝั่ง server จึงไม่ต้องดำเนินการใดๆ จากฝั่งลูกค้า อย่างไรก็ตาม Fortinet แนะนำให้ผู้ดูแลระบบปิด FortiCloud SSO ไว้ก่อนหากใช้ SAML SSO รูปแบบอื่น และตรวจสอบ log หากพบ indicator of compromise ให้ถือว่าอุปกรณ์ถูก compromise เต็มรูปแบบ ต้อง restore configuration จาก backup ที่สะอาดและเปลี่ยน credential ทั้งหมด ขณะนี้แพตช์สำหรับ FortiOS, FortiManager และ FortiAnalyzer อยู่ระหว่างการพัฒนา และ Fortinet กำลังตรวจสอบว่า FortiWeb และ FortiSwitch Manager ได้รับผลกระทบด้วยหรือไม่

ที่มา: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

TensorWave สตาร์ทอัพโครงสร้างพื้นฐานศูนย์ข้อมูล ระดมทุน 350 ล้านดอลลาร์ ช่วยทลายการผูกขาดชิป AI ของ Nvidia

TensorWave สตาร์ทอัพผู้ให้บริการโครงสร้างพื้นฐานปัญญาประดิษฐ์บนระบบคลาวด์ ประกาศว่าบริษัทสามารถปิดระดมทุนรอบ Series B มูลค่า 350 ล้านดอลลาร์สหรัฐ ในขณะที่บริษัทกำลังพยายามตอบสนองความต้องการของตลาดที่มองหาทางเลือกอื่นนอกเหนือจากหน่วยประมวลผลกราฟิก (GPU) ของ Nvidia

Synology เผยแผน AI Ready กับรากฐาน Local AI สำหรับองค์กร เตรียมกรุยทางด้วย GPU Accelerate NAS

หากท่านเป็นแฟนๆของ Synology มาก่อนย่อมรู้จักกับระบบปฏิบัติการที่เรียกได้ว่าเป็นแกนหลักของแบรนด์ที่ชื่อว่า Disk Station Manager (DSM) ซึ่งเป็นรากฐานสำหรับการปฏิบัติการในโซลูชันต่างๆก็ว่าได้ เป็นเวลากว่า 20 ปีแล้ว ซึ่งที่งาน Computex ได้มีการเป็นเผยถึงก้าวถัดไปที่ DSM …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand