Fortinet บล็อก FortiCloud SSO หลังพบช่องโหว่ Zero-day ถูกโจมตีจริง

Fortinet ยืนยันการค้นพบช่องโหว่ Zero-day ระดับ Critical บน FortiCloud SSO ที่ถูกโจมตีจริงแล้ว และได้บล็อกการเชื่อมต่อ SSO จากอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่เป็นการชั่วคราวระหว่างรอแพตช์

ช่องโหว่ CVE-2026-24858 เป็นช่องโหว่ประเภท Authentication Bypass ที่มีค่า CVSS score 9.4 เกิดจากปัญหา Improper Access Control ใน FortiCloud SSO ทำให้ผู้โจมตีที่มีบัญชี FortiCloud และอุปกรณ์ที่ลงทะเบียนแล้วสามารถเข้าถึง FortiOS, FortiManager และ FortiAnalyzer ของลูกค้ารายอื่นได้ แม้อุปกรณ์เหล่านั้นจะอัปเดตแพตช์ล่าสุดแล้วก็ตาม การโจมตีครั้งนี้เริ่มถูกรายงานเมื่อวันที่ 21 มกราคม โดยผู้ดูแลระบบพบว่าแฮกเกอร์สร้างบัญชี admin ใหม่ผ่าน FortiCloud SSO บนอุปกรณ์ที่ใช้ firmware เวอร์ชันล่าสุด ซึ่งเดิมคาดว่าเป็นการ bypass แพตช์ของช่องโหว่ CVE-2025-59718 ที่แก้ไขไปเมื่อเดือนธันวาคม 2025

บริษัทด้านความปลอดภัย Arctic Wolf ยืนยันว่าการโจมตีเป็นแบบอัตโนมัติ โดยแฮกเกอร์สร้างบัญชี admin และบัญชี VPN ใหม่ พร้อมดึงข้อมูล configuration ภายในไม่กี่วินาที Fortinet ระบุว่าแม้ขณะนี้พบการโจมตีผ่าน FortiCloud SSO เท่านั้น แต่ช่องโหว่นี้มีผลกับการใช้งาน SAML SSO ทุกรูปแบบด้วย บัญชีที่ใช้ในการโจมตีคือ cloud-noc@mail.io และ cloud-init@mail.io ซึ่งถูกระงับแล้วเมื่อวันที่ 22 มกราคม หลังจากเจาะระบบได้ แฮกเกอร์จะดาวน์โหลด config file และสร้างบัญชี admin ชื่อต่างๆ เช่น audit, backup, itadmin, secadmin, support เป็นต้น

Fortinet ดำเนินการบรรเทาผลกระทบตามลำดับ โดยวันที่ 22 มกราคมระงับบัญชีที่ถูกใช้โจมตี วันที่ 26 มกราคมปิด FortiCloud SSO ทั่วโลกชั่วคราว และวันที่ 27 มกราคมเปิดให้ใช้งานอีกครั้งแต่บล็อกอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่ไม่ให้ login ผ่าน SSO ได้ การเปลี่ยนแปลงนี้ทำจากฝั่ง server จึงไม่ต้องดำเนินการใดๆ จากฝั่งลูกค้า อย่างไรก็ตาม Fortinet แนะนำให้ผู้ดูแลระบบปิด FortiCloud SSO ไว้ก่อนหากใช้ SAML SSO รูปแบบอื่น และตรวจสอบ log หากพบ indicator of compromise ให้ถือว่าอุปกรณ์ถูก compromise เต็มรูปแบบ ต้อง restore configuration จาก backup ที่สะอาดและเปลี่ยน credential ทั้งหมด ขณะนี้แพตช์สำหรับ FortiOS, FortiManager และ FortiAnalyzer อยู่ระหว่างการพัฒนา และ Fortinet กำลังตรวจสอบว่า FortiWeb และ FortiSwitch Manager ได้รับผลกระทบด้วยหรือไม่

ที่มา: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/