Fortinet ได้ยืนยันอย่างเป็นทางการว่ามีการถูกโจมตีแบบ active exploitation ของช่องโหว่ FortiCloud SSO authentication bypass ซึ่งส่งผลกระทบต่อ FortiGate firewalls ที่ได้รับการแพตช์สมบูรณ์แล้ว การโจมตีนี้เป็นการเลี่ยงผ่านแพตช์ที่ Fortinet เคยออกมาเพื่อแก้ไข CVE-2025-59718 และ CVE-2025-59719 ผู้โจมตีได้ทำการล็อกอิน SSO ที่เป็นอันตรายเข้าสู่บัญชีผู้ดูแลระบบ และสร้างบัญชีทั่วไปสำหรับการคงอยู่ เช่น ‘cloud-noc@mail.io’ และ ‘cloud-init@mail.io’ จากนั้นเปลี่ยนแปลงการตั้งค่าเพื่ออนุญาตการเข้าถึง VPN และขโมยการตั้งค่าไฟร์วอลล์ออกไป Fortinet เน้นย้ำว่าปัญหานี้สามารถนำไปใช้กับ SAML SSO implementations ทั้งหมดได้ ไม่จำกัดเฉพาะ FortiCloud SSO เท่านั้น
Severity: วิกฤต
System Impact:
- FortiGate Firewalls (โดยเฉพาะอุปกรณ์ที่เปิดใช้งานคุณสมบัติ FortiCloud SSO)
- การใช้งาน SAML SSO ทั้งหมด (เนื่องจากปัญหามีผลในวงกว้างต่อ SAML SSO implementations)
Technical Attack Steps:
- ผู้โจมตีใช้ช่องโหว่ FortiCloud SSO authentication bypass.
- ช่องโหว่นี้สามารถเลี่ยงผ่านการแพตช์ที่เคยออกมาสำหรับ CVE-2025-59718 และ CVE-2025-59719.
- ผู้โจมตีทำการล็อกอิน SSO ที่เป็นอันตรายเข้าสู่บัญชีผู้ดูแลระบบบนอุปกรณ์ FortiGate.
- มีการสร้างบัญชีทั่วไปใหม่ (เช่น ‘cloud-noc@mail.io’ และ ‘cloud-init@mail.io’) เพื่อสร้างจุดคงอยู่ภายในระบบ.
- เปลี่ยนแปลงการตั้งค่าไฟร์วอลล์เพื่อมอบสิทธิ์การเข้าถึง VPN ให้กับบัญชีที่สร้างขึ้นใหม่.
- มีการขโมย (exfiltration) ข้อมูลการตั้งค่าไฟร์วอลล์ไปยังที่อยู่ IP ภายนอก.
Recommendations:
Short Term:
- จำกัดการเข้าถึงการบริหารจัดการอุปกรณ์เครือข่ายขอบ (edge network device) ผ่านอินเทอร์เน็ต โดยการใช้ local-in policy.
- ปิดใช้งานการล็อกอิน FortiCloud SSO โดยการปิด ‘admin-forticloud-sso-login’.
Long Term:
- ทบทวนและเสริมสร้างความปลอดภัยของการใช้งาน SAML SSO ทั้งหมด เนื่องจากช่องโหว่นี้อาจส่งผลกระทบในวงกว้าง.
- ตรวจสอบบันทึกการเข้าถึงและกิจกรรมของผู้ดูแลระบบอย่างสม่ำเสมอเพื่อตรวจจับความผิดปกติและการเข้าถึงที่น่าสงสัย.
Source: https://thehackernews.com/2026/01/fortinet-confirms-active-forticloud-sso.html
Share this content: