CISA Warns of FortiCloud SSO Authentication Bypass Vulnerability Exploited in Attacks

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกาได้ออกคำเตือนเกี่ยวกับช่องโหว่การข้ามการยืนยันตัวตน (authentication bypass) ที่ร้ายแรงในผลิตภัณฑ์หลายรายการของ Fortinet ซึ่งถูกโจมตีอยู่ในปัจจุบัน ช่องโหว่นี้มีรหัส CVE-2026-24858 และอนุญาตให้ผู้โจมตีที่มีบัญชี FortiCloud สามารถเข้าควบคุมเซสชันบนอุปกรณ์ที่ลงทะเบียนกับบัญชีอื่นได้ หากมีการเปิดใช้งาน FortiCloud Single Sign-On (SSO) Fortinet ได้เปิดเผยช่องโหว่นี้เมื่อวันที่ 28 มกราคม 2026 และ CISA ได้เน้นย้ำถึงความเสี่ยงที่อาจนำไปสู่การโจมตีแรนซัมแวร์และการเคลื่อนที่ภายในเครือข่าย

Severity: วิกฤต

System Impact:

• Fortinet products
• FortiAnalyzer
• FortiManager
• FortiOS
• FortiProxy
• FortiCloud Single Sign-On (SSO)

Technical Attack Steps:

1. ผู้โจมตีได้รับหรือเข้าควบคุมบัญชี FortiCloud
2. ผู้โจมตีลงทะเบียนอุปกรณ์ที่มีสิทธิ์ต่ำเข้ากับบัญชีดังกล่าว
3. ผู้โจมตีทำการยืนยันตัวตนกับอุปกรณ์ของตนอย่างถูกต้องตามกฎ และดึงโทเค็นเซสชัน (session token) มาได้
4. โทเค็นเซสชันนี้จะถูกนำไปใช้ซ้ำ (replay) กับอุปกรณ์ของเหยื่อ (FortiAnalyzer, FortiManager, FortiOS, หรือ FortiProxy) ที่ใช้ FortiCloud tenant เดียวกัน เพื่อข้ามการยืนยันตัวตนมาตรฐานผ่าน SSO
5. การโจมตีนี้ช่วยให้ผู้โจมตีสามารถเข้าถึงระบบในเบื้องต้น (initial access) ยกระดับสิทธิ์ (privilege escalation) และคงอยู่ในระบบ (persistence) ซึ่งพร้อมสำหรับการปรับใช้แรนซัมแวร์
6. ช่องโหว่นี้เกิดจากช่องว่างในการตรวจสอบโทเค็น SSO

Recommendations:

Short Term:

• อัปเกรดผลิตภัณฑ์ Fortinet ที่ได้รับผลกระทบเป็นเวอร์ชันที่ได้รับการแก้ไขโดยทันที ดังนี้:
• – FortiAnalyzer: 7.4.4+ (จากเวอร์ชัน 7.4.0-7.4.3)
• – FortiManager: 7.6.3+ (จากเวอร์ชัน 7.6.0-7.6.2)
• – FortiOS: 7.4.6+ (จากเวอร์ชัน 7.4.0-7.4.5)
• – FortiProxy: 7.4.5+ (จากเวอร์ชัน 7.4.0-7.4.4)
• ปิดใช้งาน FortiCloud SSO หากไม่มีความจำเป็นต้องใช้งาน
• บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชี FortiCloud ทั้งหมด
• ตรวจสอบบันทึกการเข้าสู่ระบบที่ผิดปกติใน FortiAnalyzer
• หน่วยงานของรัฐบาลกลางควรแก้ไขภายในกรอบเวลา BOD 22-01 และองค์กรอื่นๆ ควรถือปฏิบัติตามสำหรับบริการคลาวด์ หรือยกเลิกการใช้งานการตั้งค่าที่อ่อนแอ

Long Term:

• สแกนหาการอัปเดตจาก NVD (National Vulnerability Database) และ FortiGuard อย่างสม่ำเสมอ
• ทบทวนและรักษาความปลอดภัยการตั้งค่า SSO ในสภาพแวดล้อมคลาวด์แบบไฮบริด เพื่อป้องกันการกำหนดค่าผิดพลาด

Source: https://cybersecuritynews.com/forticloud-sso-authentication-bypass/