Fortinet ยืนยันว่ามีการใช้ประโยชน์จากช่องโหว่การข้ามการยืนยันตัวตน FortiCloud SSO อย่างจริงจัง โดยมีแคมเปญอัตโนมัติใหม่ที่มุ่งเป้าไปที่อุปกรณ์ FortiGate ที่ได้รับการแพตช์แล้ว ฟิลด์ของ Cybersecurity firm Arctic Wolf สังเกตการโจมตีครั้งแรกเมื่อวันที่ 15 มกราคม 2026 ซึ่งเกี่ยวข้องกับการดึงข้อมูลการตั้งค่าอย่างรวดเร็วและการคงอยู่ผ่านบัญชีผู้ดูแลระบบทั่วไป
Severity: วิกฤต
System Impact:
- FortiGate devices (รวมถึงอุปกรณ์ที่ได้รับการแพตช์แล้ว)
- FortiOS (เวอร์ชัน 7.6.0-7.6.3, 7.4.0-7.4.8, 7.2.0-7.2.11)
- FortiWeb (เวอร์ชัน 7.2.0-7.2.14)
- FortiProxy (เวอร์ชัน 7.2.0-7.2.14)
- FortiSwitchManager (เวอร์ชัน 7.2.0-7.2.6)
Technical Attack Steps:
- ผู้โจมตีใช้การเข้าสู่ระบบ SSO ที่เป็นอันตราย (เช่น cloud-init@mail.io) เพื่อข้ามการยืนยันตัวตน
- มีการดึงข้อมูลการตั้งค่า (configuration exfiltration) อย่างรวดเร็วผ่าน GUI ของอุปกรณ์
- ทำการถอดรหัสข้อมูลประจำตัวแบบออฟไลน์ (offline credential cracking) โดยใช้ข้อมูลการตั้งค่าที่ได้มา
- สร้างบัญชีผู้ดูแลระบบทั่วไปเพื่อคงการเข้าถึง (persistence) และเข้าถึง VPN
Recommendations:
Short Term:
- ปิดการใช้งาน FortiCloud SSO โดยใช้คำสั่ง: `config system global set admin-forticloud-sso-login disable end`
- ใช้ local-in policies เพื่อจำกัดการเข้าถึงของผู้ดูแลระบบ เช่น การกำหนด IP แอดเดรสที่เชื่อถือได้เท่านั้นที่สามารถเข้าถึง HTTPS ได้
- ตรวจสอบบันทึก (logs) สำหรับการเข้าสู่ระบบ SSO ที่สำเร็จจาก IP/ผู้ใช้ที่น่าสงสัย (เช่น 104.28.244.115, 104.28.212.114, 37.1.209.19, 217.119.139.50 และ user accounts: cloud-noc@mail.io, cloud-init@mail.io)
- ค้นหาเหตุการณ์ ‘Add system.admin’ ในบันทึกเพื่อระบุการสร้างบัญชีผู้ดูแลระบบที่ผิดปกติ
Long Term:
- อัปเกรดเฟิร์มแวร์เป็นเวอร์ชันล่าสุด (เช่น 7.6.x หรือสูงกว่า) ทันทีที่พร้อมใช้งาน
- คืนค่าการตั้งค่าจากข้อมูลสำรองที่สะอาดและเชื่อถือได้ (clean configs)
- เปลี่ยนข้อมูลประจำตัวทั้งหมด รวมถึง LDAP/AD
- ตรวจสอบและปรับปรุงการตั้งค่า VPN อย่างละเอียด
Source: https://cybersecuritynews.com/fortinet-confirms-active-exploitation/
Share this content: