Fortinet บล็อก FortiCloud SSO หลังพบช่องโหว่ Zero-day ถูกโจมตีจริง

January 28, 2026 Cybersecurity, Fortinet, Products, Threats Update

Fortinet ยืนยันการค้นพบช่องโหว่ Zero-day ระดับ Critical บน FortiCloud SSO ที่ถูกโจมตีจริงแล้ว และได้บล็อกการเชื่อมต่อ SSO จากอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่เป็นการชั่วคราวระหว่างรอแพตช์

ช่องโหว่ CVE-2026-24858 เป็นช่องโหว่ประเภท Authentication Bypass ที่มีค่า CVSS score 9.4 เกิดจากปัญหา Improper Access Control ใน FortiCloud SSO ทำให้ผู้โจมตีที่มีบัญชี FortiCloud และอุปกรณ์ที่ลงทะเบียนแล้วสามารถเข้าถึง FortiOS, FortiManager และ FortiAnalyzer ของลูกค้ารายอื่นได้ แม้อุปกรณ์เหล่านั้นจะอัปเดตแพตช์ล่าสุดแล้วก็ตาม การโจมตีครั้งนี้เริ่มถูกรายงานเมื่อวันที่ 21 มกราคม โดยผู้ดูแลระบบพบว่าแฮกเกอร์สร้างบัญชี admin ใหม่ผ่าน FortiCloud SSO บนอุปกรณ์ที่ใช้ firmware เวอร์ชันล่าสุด ซึ่งเดิมคาดว่าเป็นการ bypass แพตช์ของช่องโหว่ CVE-2025-59718 ที่แก้ไขไปเมื่อเดือนธันวาคม 2025

บริษัทด้านความปลอดภัย Arctic Wolf ยืนยันว่าการโจมตีเป็นแบบอัตโนมัติ โดยแฮกเกอร์สร้างบัญชี admin และบัญชี VPN ใหม่ พร้อมดึงข้อมูล configuration ภายในไม่กี่วินาที Fortinet ระบุว่าแม้ขณะนี้พบการโจมตีผ่าน FortiCloud SSO เท่านั้น แต่ช่องโหว่นี้มีผลกับการใช้งาน SAML SSO ทุกรูปแบบด้วย บัญชีที่ใช้ในการโจมตีคือ cloud-noc@mail.io และ cloud-init@mail.io ซึ่งถูกระงับแล้วเมื่อวันที่ 22 มกราคม หลังจากเจาะระบบได้ แฮกเกอร์จะดาวน์โหลด config file และสร้างบัญชี admin ชื่อต่างๆ เช่น audit, backup, itadmin, secadmin, support เป็นต้น

Fortinet ดำเนินการบรรเทาผลกระทบตามลำดับ โดยวันที่ 22 มกราคมระงับบัญชีที่ถูกใช้โจมตี วันที่ 26 มกราคมปิด FortiCloud SSO ทั่วโลกชั่วคราว และวันที่ 27 มกราคมเปิดให้ใช้งานอีกครั้งแต่บล็อกอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่ไม่ให้ login ผ่าน SSO ได้ การเปลี่ยนแปลงนี้ทำจากฝั่ง server จึงไม่ต้องดำเนินการใดๆ จากฝั่งลูกค้า อย่างไรก็ตาม Fortinet แนะนำให้ผู้ดูแลระบบปิด FortiCloud SSO ไว้ก่อนหากใช้ SAML SSO รูปแบบอื่น และตรวจสอบ log หากพบ indicator of compromise ให้ถือว่าอุปกรณ์ถูก compromise เต็มรูปแบบ ต้อง restore configuration จาก backup ที่สะอาดและเปลี่ยน credential ทั้งหมด ขณะนี้แพตช์สำหรับ FortiOS, FortiManager และ FortiAnalyzer อยู่ระหว่างการพัฒนา และ Fortinet กำลังตรวจสอบว่า FortiWeb และ FortiSwitch Manager ได้รับผลกระทบด้วยหรือไม่

ที่มา: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Synology เผยกลยุทธ์ Cyber Resilience ในยุค AI พลิกโฉมภัยไซเบอร์ พร้อมเปิดตัว ActiveProtect และ PAS7700 โซลูชันใหม่สำหรับองค์กร

“การโจมตีแบบเดิม ๆ ไม่ได้หายไปไหน เพียงแต่ AI กำลังเปลี่ยนเกมให้ภัยคุกคามมีความฉลาด แนบเนียน และสร้างความเสียหายได้รวดเร็วยิ่งขึ้น” คุณรหัท บุญตันจีน Country Manager ประจำประเทศไทย จาก Synology …

NT พร้อมสนับสนุนหน่วยงานรัฐและโครงสร้างพื้นฐานสำคัญ เตรียมความพร้อมสู่มาตรฐานความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ของ สกมช. ก่อนมีผลบังคับใช้ 10 กันยายน 2569 [PR]

บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน) หรือ NT ประกาศความพร้อมในการสนับสนุนหน่วยงานภาครัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศให้พร้อมใช้บริการคลาวด์อย่างมั่นคงปลอดภัย รองรับการปฏิบัติตามมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. 2567 ของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ซึ่งจะมีผลบังคับใช้ในวันที่ 10 กันยายน …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand