TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
แฮกเกอร์กำลังใช้ช่องโหว่ระดับ Critical บนผลิตภัณฑ์ Fortinet หลายรายการที่เพิ่งได้รับการแพตช์ เพื่อเข้าถึงบัญชีผู้ดูแลระบบและขโมยไฟล์ Configuration ของระบบ
Fortinet ออกประกาศเตือนเมื่อวันที่ 9 ธันวาคมเกี่ยวกับช่องโหว่ 2 รายการคือ CVE-2025-59718 และ CVE-2025-59719 ที่เป็นช่องโหว่ประเภท FortiCloud SSO Authentication Bypass โดย CVE-2025-59718 ส่งผลกระทบต่อ FortiOS, FortiProxy และ FortiSwitchManager เกิดจากการตรวจสอบ Cryptographic Signature ใน SAML Messages ไม่ถูกต้อง ทำให้ผู้โจมตีสามารถ Login โดยไม่ต้องมี Authentication ผ่านการส่ง SAML Assertion ที่ถูกดัดแปลง ส่วน CVE-2025-59719 ส่งผลกระทบต่อ FortiWeb มีสาเหตุจากปัญหาเดียวกันในการตรวจสอบ Signature ของ SAML Messages
ทีมวิจัยจาก Arctic Wolf ตรวจพบการโจมตีที่ใช้ช่องโหว่ทั้งสองนี้ตั้งแต่วันที่ 12 ธันวาคม โดยพบว่าการโจมตีมาจาก IP หลายแห่งที่เชื่อมโยงกับ The Constant Company, BL Networks และ Kaopu Cloud HK ผู้โจมตีมุ่งเป้าไปที่บัญชีผู้ดูแลระบบด้วยการ Login ผ่าน SSO แบบ Malicious หลังจากได้สิทธิ์ระดับผู้ดูแลระบบ แฮกเกอร์จะเข้าถึง Web Management Interface และดาวน์โหลดไฟล์ Configuration ของระบบซึ่งอาจเปิดเผย Network Layout, Firewall Policies, Routing Tables รวมถึง Hashed Password ที่อาจถูก Crack ได้หากตั้งค่าไว้อ่อนแอ
ช่องโหว่ทั้งสองสามารถถูกโจมตีได้เฉพาะเมื่อเปิดใช้งาน FortiCloud SSO ซึ่งไม่ใช่การตั้งค่า Default แต่ฟีเจอร์นี้จะถูกเปิดอัตโนมัติเมื่อลงทะเบียนอุปกรณ์ผ่าน FortiCare Fortinet แนะนำให้ผู้ดูแลระบบปิดฟีเจอร์ FortiCloud Login ชั่วคราวโดยไปที่ System → Settings → Allow administrative login using FortiCloud SSO = Off จนกว่าจะอัปเดตเป็นเวอร์ชันที่ปลอดภัยได้แก่ FortiOS 7.6.4+, 7.4.9+, 7.2.12+, 7.0.18+, FortiProxy 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+, FortiSwitchManager 7.2.7+, 7.0.6+ และ FortiWeb 8.0.1+, 7.6.5+, 7.4.10+ หากพบสัญญาณการถูกโจมตี ควรเปลี่ยน Credentials ของ Firewall ทันทีและจำกัดการเข้าถึง Management Interface ให้เฉพาะ Internal Network ที่เชื่อถือได้เท่านั้น
