ช่องโหว่วิกฤต (CVE-2025-59718) ในฟีเจอร์ Single Sign-On (SSO) ของ Fortinet สำหรับไฟร์วอลล์ FortiGate กำลังถูกใช้ในการโจมตี ผู้โจมตีใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ดูแลระบบภายในที่ไม่ได้รับอนุญาต ทำให้เข้าถึงอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตได้อย่างสมบูรณ์ มีรายงานรูปแบบการโจมตีที่เหมือนกันหลายกรณี ซึ่งทีม Fortinet PSIRT กำลังดำเนินการสอบสวน
Severity: วิกฤต
System Impact:
- FortiGate Firewalls
- FortiOS (เวอร์ชัน 7.4.9, 7.4.10, 7.6.x, 8.0.x)
- FortiCloud SSO
Technical Attack Steps:
- มุ่งเป้าไปที่อุปกรณ์ FortiGate ที่เชื่อมต่ออินเทอร์เน็ตและเปิดใช้งาน FortiCloud SSO
- ใช้ช่องโหว่ CVE-2025-59718 ผ่านการเข้าสู่ระบบ SSO ที่เป็นอันตราย
- ข้ามการควบคุมการตรวจสอบสิทธิ์มาตรฐาน
- สร้างบัญชีผู้ดูแลระบบภายในที่ไม่ได้รับอนุญาต (เช่น “helpdesk”) ที่มีสิทธิ์การดูแลระบบเต็มรูปแบบ
- เพิ่มสิทธิ์บนไฟร์วอลล์ที่ได้รับผลกระทบ
Recommendations:
Short Term:
- ปิดใช้งานการเข้าสู่ระบบ FortiCloud SSO ผ่าน CLI ทันที โดยใช้คำสั่ง `config system global` ตามด้วย `set admin-forticloud-sso-login disable` และ `end`
- เปิดใช้งานอีกครั้งหลังจากได้รับการอัปเดตแพตช์อย่างเป็นทางการเท่านั้น
- ดำเนินการตามมาตรการแก้ไขนี้ทันที โดยเฉพาะอย่างยิ่งสำหรับไฟร์วอลล์ที่เชื่อมต่ออินเทอร์เน็ต
Long Term:
- ตรวจสอบบันทึก (Audit Logs) สำหรับการเข้าสู่ระบบ SSO ที่น่าสงสัยและบัญชีผู้ดูแลระบบใหม่ (เช่น “helpdesk”)
- แบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเข้าถึงของผู้ดูแลระบบและบังคับใช้นโยบาย Local-In
- การตรวจสอบ (Monitoring): ผสานรวม SIEM เพื่อติดตามการเปลี่ยนแปลงของผู้ดูแลระบบ และสแกนหา Indicators of Compromise (IOCs)
- การแพตช์ (Patching): อัปเกรดเป็นเวอร์ชันที่มีการแก้ไขเมื่อมีการเผยแพร่ และทดสอบในสภาพแวดล้อมจำลองก่อน
- การตอบสนองต่อการถูกบุกรุก (Compromise Response): หากถูกบุกรุก ให้เปลี่ยนข้อมูลประจำตัว แยกอุปกรณ์ และติดต่อฝ่ายสนับสนุนของ Fortinet
- ปิดใช้งานคุณสมบัติที่ไม่จำเป็นและตรวจสอบอย่างเข้มข้น
Source: https://cybersecuritynews.com/fortinet-sso-vulnerability-exploited/
Share this content: