ผู้ดูแลระบบ Fortinet รายงานไฟร์วอลล์ FortiGate ที่แพตช์แล้วยังคงถูกโจมตี

ลูกค้า Fortinet กำลังเผชิญกับการโจมตีที่ใช้ช่องโหว่บายพาสแพตช์สำหรับช่องโหว่การยืนยันตัวตน FortiGate ที่สำคัญ (CVE-2025-59718) ซึ่งเคยได้รับการแก้ไขแล้ว เพื่อแฮกไฟร์วอลล์ที่ได้รับการแพตช์ Fortinet ได้ยืนยันว่า FortiOS เวอร์ชันล่าสุด (7.4.10) ยังแก้ไขช่องโหว่นี้ไม่สมบูรณ์ และมีแผนจะปล่อยแพตช์ฉบับเต็มใน FortiOS เวอร์ชัน 7.4.11, 7.6.6 และ 8.0.0 ในอีกไม่กี่วันข้างหน้า CISA ได้เพิ่มช่องโหว่นี้ในรายการช่องโหว่ที่ถูกใช้โจมตีแล้ว

Severity: วิกฤต

System Impact:

• FortiGate firewalls (FortiOS version 7.4.9 และ 7.4.10)
• FortiOS (เวอร์ชัน 7.4.9, 7.4.10)
• คุณสมบัติ FortiCloud Single Sign-On (SSO)

Technical Attack Steps:

1. ผู้โจมตีใช้ช่องโหว่ bypass สำหรับแพตช์ของ CVE-2025-59718
2. ส่งข้อความ SAML ที่สร้างขึ้นมาอย่างประสงค์ร้าย
3. บายพาสการยืนยันตัวตนบน FortiGate firewall
4. สร้างบัญชีผู้ดูแลระบบโดยไม่ได้รับอนุญาต (เช่น ‘cloud-init@mail.io’ หรือ ‘helpdesk’)
5. เข้าควบคุม FortiGate firewall ที่ถูกโจมตี

Recommendations:

Short Term:

• ปิดใช้งานคุณสมบัติ FortiCloud SSO ชั่วคราว (หากเปิดใช้งานอยู่) โดยไปที่ System -> Settings และตั้งค่า ‘Allow administrative login using FortiCloud SSO’ เป็น Off
• อีกทางเลือกหนึ่งคือใช้คำสั่ง CLI: config system global, set admin-forticloud-sso-login disable, end

Long Term:

• ติดตามและติดตั้ง FortiOS เวอร์ชันที่ได้รับการแก้ไขอย่างสมบูรณ์ทันทีที่ Fortinet ปล่อยออกมา (เช่น FortiOS 7.4.11, 7.6.6, และ 8.0.0)
• ตรวจสอบให้แน่ใจว่าอุปกรณ์ FortiGate ที่ไม่ได้ลงทะเบียน FortiCare จะไม่เปิดใช้งานคุณสมบัติ FortiCloud SSO โดยไม่จำเป็น

Source: https://www.bleepingcomputer.com/news/security/fortinet-admins-report-patched-fortigate-firewalls-getting-hacked/