Fortinet บล็อก FortiCloud SSO หลังพบช่องโหว่ Zero-day ถูกโจมตีจริง

Fortinet ยืนยันการค้นพบช่องโหว่ Zero-day ระดับ Critical บน FortiCloud SSO ที่ถูกโจมตีจริงแล้ว และได้บล็อกการเชื่อมต่อ SSO จากอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่เป็นการชั่วคราวระหว่างรอแพตช์

ช่องโหว่ CVE-2026-24858 เป็นช่องโหว่ประเภท Authentication Bypass ที่มีค่า CVSS score 9.4 เกิดจากปัญหา Improper Access Control ใน FortiCloud SSO ทำให้ผู้โจมตีที่มีบัญชี FortiCloud และอุปกรณ์ที่ลงทะเบียนแล้วสามารถเข้าถึง FortiOS, FortiManager และ FortiAnalyzer ของลูกค้ารายอื่นได้ แม้อุปกรณ์เหล่านั้นจะอัปเดตแพตช์ล่าสุดแล้วก็ตาม การโจมตีครั้งนี้เริ่มถูกรายงานเมื่อวันที่ 21 มกราคม โดยผู้ดูแลระบบพบว่าแฮกเกอร์สร้างบัญชี admin ใหม่ผ่าน FortiCloud SSO บนอุปกรณ์ที่ใช้ firmware เวอร์ชันล่าสุด ซึ่งเดิมคาดว่าเป็นการ bypass แพตช์ของช่องโหว่ CVE-2025-59718 ที่แก้ไขไปเมื่อเดือนธันวาคม 2025

บริษัทด้านความปลอดภัย Arctic Wolf ยืนยันว่าการโจมตีเป็นแบบอัตโนมัติ โดยแฮกเกอร์สร้างบัญชี admin และบัญชี VPN ใหม่ พร้อมดึงข้อมูล configuration ภายในไม่กี่วินาที Fortinet ระบุว่าแม้ขณะนี้พบการโจมตีผ่าน FortiCloud SSO เท่านั้น แต่ช่องโหว่นี้มีผลกับการใช้งาน SAML SSO ทุกรูปแบบด้วย บัญชีที่ใช้ในการโจมตีคือ cloud-noc@mail.io และ cloud-init@mail.io ซึ่งถูกระงับแล้วเมื่อวันที่ 22 มกราคม หลังจากเจาะระบบได้ แฮกเกอร์จะดาวน์โหลด config file และสร้างบัญชี admin ชื่อต่างๆ เช่น audit, backup, itadmin, secadmin, support เป็นต้น

Fortinet ดำเนินการบรรเทาผลกระทบตามลำดับ โดยวันที่ 22 มกราคมระงับบัญชีที่ถูกใช้โจมตี วันที่ 26 มกราคมปิด FortiCloud SSO ทั่วโลกชั่วคราว และวันที่ 27 มกราคมเปิดให้ใช้งานอีกครั้งแต่บล็อกอุปกรณ์ที่ใช้ firmware เวอร์ชันที่มีช่องโหว่ไม่ให้ login ผ่าน SSO ได้ การเปลี่ยนแปลงนี้ทำจากฝั่ง server จึงไม่ต้องดำเนินการใดๆ จากฝั่งลูกค้า อย่างไรก็ตาม Fortinet แนะนำให้ผู้ดูแลระบบปิด FortiCloud SSO ไว้ก่อนหากใช้ SAML SSO รูปแบบอื่น และตรวจสอบ log หากพบ indicator of compromise ให้ถือว่าอุปกรณ์ถูก compromise เต็มรูปแบบ ต้อง restore configuration จาก backup ที่สะอาดและเปลี่ยน credential ทั้งหมด ขณะนี้แพตช์สำหรับ FortiOS, FortiManager และ FortiAnalyzer อยู่ระหว่างการพัฒนา และ Fortinet กำลังตรวจสอบว่า FortiWeb และ FortiSwitch Manager ได้รับผลกระทบด้วยหรือไม่

ที่มา: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?