Fortinet ระงับช่องโหว่ Zero-day ของ FortiCloud SSO ที่ถูกโจมตีอยู่ จนกว่าแพตช์จะพร้อม

Fortinet ยืนยันว่ามีช่องโหว่การข้ามการยืนยันตัวตน (authentication bypass) แบบ Single Sign-On (SSO) ของ FortiCloud ที่มีความรุนแรงสูง ซึ่งถูกโจมตีอย่างต่อเนื่อง โดยมีหมายเลข CVE-2026-24858 และระบุว่าได้บรรเทาการโจมตี Zero-day นี้แล้วโดยการบล็อกการเชื่อมต่อ FortiCloud SSO จากอุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชันที่มีช่องโหว่

Severity: วิกฤต

System Impact:

• อุปกรณ์ FortiOS
• อุปกรณ์ FortiManager
• อุปกรณ์ FortiAnalyzer
• การใช้งาน SAML SSO อื่นๆ (อาจได้รับผลกระทบ)
• FortiWeb (กำลังตรวจสอบ)
• FortiSwitch Manager (กำลังตรวจสอบ)

Technical Attack Steps:

1. ผู้โจมตีใช้ประโยชน์จากช่องโหว่การข้ามการยืนยันตัวตน (Authentication Bypass) ใน FortiCloud SSO (CVE-2026-24858)
2. ผู้โจมตีเข้าถึงการบริหารจัดการอุปกรณ์ FortiOS, FortiManager และ FortiAnalyzer ของลูกค้าผ่าน FortiCloud SSO
3. มีการเข้าสู่ระบบผ่าน FortiCloud SSO โดยใช้อีเมลแอดเดรส เช่น cloud-init@mail.io เพื่อสร้างบัญชีผู้ดูแลระบบภายในใหม่
4. สร้างบัญชีผู้ดูแลระบบภายในที่ผิดกฎหมาย เช่น audit, backup, itadmin, secadmin, support, backupadmin, deploy, remoteadmin, security, svcadmin, system
5. ดาวน์โหลดไฟล์การกำหนดค่า (config files) ของลูกค้า
6. การเชื่อมต่อที่พบมาจากที่อยู่ IP ที่น่าสงสัย ได้แก่ 104.28.244.115, 104.28.212.114, 104.28.212.115, 104.28.195.105, 104.28.195.106, 104.28.227.106, 104.28.227.105, 104.28.244.114, 37[.]1.209.19, 217[.]119.139.50

Recommendations:

Short Term:

• ทบทวนบัญชีผู้ดูแลระบบทั้งหมดเพื่อหาบัญชีที่น่าสงสัย
• กู้คืนการกำหนดค่าจากข้อมูลสำรองที่ทราบว่าปลอดภัย
• หมุนเวียนข้อมูลประจำตัว (credentials) ทั้งหมด
• หากยังไม่ได้ดำเนินการ ให้พิจารณาปิดใช้งาน FortiCloud SSO ชั่วคราวบนอุปกรณ์ของคุณด้วยคำสั่ง: config system global set admin-forticloud-sso-login disable end (แม้ว่า Fortinet จะบล็อกการเชื่อมต่อจากอุปกรณ์ที่มีช่องโหว่จากฝั่งเซิร์ฟเวอร์แล้วก็ตาม)

Long Term:

• เฝ้าระวังการออกแพตช์อย่างเป็นทางการจาก Fortinet และติดตั้งโดยทันทีเมื่อพร้อมใช้งาน
• ตรวจสอบบันทึก (logs) ของอุปกรณ์อย่างสม่ำเสมอเพื่อหาตัวบ่งชี้การบุกรุก (Indicators of Compromise – IoCs) เช่น การเข้าสู่ระบบจากบัญชี FortiCloud ที่เป็นอันตราย, การสร้างบัญชีผู้ดูแลระบบใหม่ที่ผิดปกติ หรือการเชื่อมต่อจาก IP แอดเดรสที่ระบุ

Source: https://www.bleepingcomputer.com/news/security/fortinet-blocks-exploited-forticloud-sso-zero-day-until-patch-is-ready/