อุปกรณ์ Fortinet FortiGate กำลังถูกกำหนดเป้าหมายในการโจมตีแบบอัตโนมัติที่สร้างบัญชีปลอมและขโมยข้อมูลการตั้งค่าไฟร์วอลล์ ตามรายงานของบริษัท Arctic Wolf การโจมตีคล้ายกับการแสวงหาประโยชน์จากช่องโหว่ CVE-2025-59718 ซึ่งเป็นช่องโหว่การข้ามการยืนยันตัวตน SSO ที่สำคัญ
Severity: วิกฤต
System Impact:
- อุปกรณ์ Fortinet FortiGate
- คุณสมบัติ Single Sign-On (SSO)
- คุณสมบัติ FortiCloud SSO
- ระบบปฏิบัติการ FortiOS (โดยเฉพาะเวอร์ชันที่ได้รับผลกระทบเช่น 7.4.10 และเวอร์ชันก่อนหน้า)
Technical Attack Steps:
- ผู้โจมตีใช้ช่องโหว่ที่ไม่รู้จักในคุณสมบัติ Single Sign-On (SSO) ของอุปกรณ์ FortiGate
- สร้างบัญชีปลอมพร้อมสิทธิ์เข้าถึง VPN
- ส่งออกข้อมูลการตั้งค่าไฟร์วอลล์ภายในไม่กี่วินาที ซึ่งบ่งชี้ถึงกิจกรรมอัตโนมัติ
- การโจมตีมีความคล้ายคลึงกับการแสวงหาประโยชน์จากช่องโหว่ CVE-2025-59718 ที่เปิดเผยก่อนหน้านี้ ซึ่งเป็นช่องโหว่การข้ามการยืนยันตัวตน SSO โดยใช้ข้อความ SAML ที่ประดิษฐ์ขึ้นเป็นพิเศษ เมื่อเปิดใช้งานคุณสมบัติ FortiCloud SSO
- มีการสังเกตว่าผู้โจมตีสร้างผู้ใช้ที่เป็นผู้ดูแลระบบหลังจากเข้าสู่ระบบ SSO จากอีเมล cloud-init@mail.io โดยใช้ที่อยู่ IP 104.28.244.114
Recommendations:
Short Term:
- ปิดคุณสมบัติ ‘Allow administrative login using FortiCloud SSO’ ชั่วคราว โดยไปที่ System -> Settings และตั้งค่าเป็น Off
- รันคำสั่ง CLI ต่อไปนี้: config system global, set admin-forticloud-sso-login disable, end
- เฝ้าระวังและเตรียมอัปเดต FortiOS เป็นเวอร์ชัน 7.4.11, 7.6.6 และ 8.0.0 ที่คาดว่าจะออกในอีกไม่กี่วันข้างหน้า เพื่อแก้ไขช่องโหว่ CVE-2025-59718 อย่างสมบูรณ์
Long Term:
- ติดตามข่าวสารและอัปเดตแพตช์ความปลอดภัยจาก Fortinet อย่างต่อเนื่องทันทีที่ออก
- ตรวจสอบและเสริมความแข็งแกร่งของการตั้งค่าความปลอดภัยของอุปกรณ์ FortiGate อย่างสม่ำเสมอ
- CISA ได้เพิ่ม CVE-2025-59718 เข้าในแคตตาล็อกช่องโหว่ที่ถูกใช้โจมตี (Known Exploited Vulnerabilities Catalog) และสั่งให้หน่วยงานรัฐบาลกลางแก้ไขภายในหนึ่งสัปดาห์ ซึ่งเป็นแนวทางปฏิบัติที่ดีที่องค์กรอื่นๆ ควรนำไปปรับใช้
Share this content: