ลูกค้าของ Fortinet พบว่าผู้โจมตีสามารถใช้วิธีการ bypass แพตช์ของช่องโหว่การยืนยันตัวตน (CVE-2025-59718) ที่มีความรุนแรงระดับ critical ซึ่งเคยมีการแก้ไขไปก่อนหน้านี้ โดยสามารถโจมตีไฟร์วอลล์ FortiGate ได้แม้จะมีการติดตั้งแพตช์ไปแล้วก็ตาม
หนึ่งในผู้ดูแลระบบที่ได้รับผลกระทบระบุว่า ทาง Fortinet ยอมรับว่า FortiOS เวอร์ชันล่าสุด 7.4.10 ไม่สามารถแก้ไขช่องโหว่การยืนยันตัวตนนี้ได้อย่างสมบูรณ์ ซึ่งช่องโหว่ดังกล่าวควรจะได้รับการแก้ไขไปแล้วตั้งแต่ช่วงต้นเดือนธันวาคมที่ผ่านมาพร้อมกับการปล่อยแพตช์ FortiOS เวอร์ชัน 7.4.9
มีรายงานว่า Fortinet กำลังวางแผนที่จะปล่อยแพตช์ FortiOS เวอร์ชัน 7.4.11, 7.6.6 และ 8.0.0 ในอีกไม่กี่วันข้างหน้า เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยอย่างสมบูรณ์
ผู้ดูแลระบบระบุว่า พบการเข้าสู่ระบบ SSO ที่เป็นอันตรายบน FortiGate เครื่องหนึ่งที่ใช้เวอร์ชัน 7.4.9 (FGT60F) โดยระบบ SIEM ตรวจพบว่ามีการสร้างบัญชีผู้ดูแลระบบ (Local Admin) ขึ้นมา จากที่ได้ตรวจสอบพบว่าเหตุการณ์นี้มีลักษณะเหมือนกับตอนที่ถูกโจมตีผ่านช่องโหว่ CVE-2025-59718 แต่เครื่องดังกล่าวได้มีการอัปเดตเป็นเวอร์ชัน 7.4.9 มาตั้งแต่วันที่ 30 ธันวาคมเรียบร้อยแล้ว
ลูกค้ารายดังกล่าวได้เปิดเผย Log ที่แสดงให้เห็นว่าบัญชีผู้ดูแลระบบถูกสร้างขึ้นจากการล็อกอินผ่าน SSO ด้วยชื่อ cloud-init@mail.io จาก IP address 104.28.244.114 ซึ่ง Log เหล่านี้มีลักษณะคล้ายคลึงกับการโจมตีผ่านช่องโหว่ CVE-2025-59718 ที่บริษัทความปลอดภัยไซเบอร์ Arctic Wolf เคยพบในเดือนธันวาคม 2025 โดยรายงานระบุว่า ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ดังกล่าวผ่านการสร้าง maliciously SAML messages ปลอม เพื่อเข้าควบคุมบัญชีผู้ดูแลระบบ
ผู้ดูแลระบบระบุเพิ่มเติมว่า ได้สังเกตเห็นกิจกรรมแบบเดียวกันนี้ ในเครื่องที่ทำการแพตช์เป็นเวอร์ชัน 7.4.9 แล้วเช่นกัน ซึ่งมีการล็อกอินด้วยชื่อผู้ใช้ และมี IP address เดียวกัน โดยมีการสร้างบัญชีผู้ดูแลระบบใหม่ที่ชื่อ helpdesk ขึ้นมา และปัจจุบันได้เปิดเคสแจ้งไปยังฝ่าย support แล้ว โดยทีมพัฒนาของ Fortinet ได้ยืนยันแล้วว่าช่องโหว่ดังกล่าวยังคงอยู่ หรือยังไม่ได้รับการแก้ไขในเวอร์ชัน 7.4.10
ในระหว่างที่รอ Fortinet ปล่อย FortiOS เวอร์ชันที่แก้ไขช่องโหว่ได้อย่างสมบูรณ์ แนะนำให้ผู้ดูแลระบบปิดการใช้งาน ฟีเจอร์ FortiCloud login ที่มีช่องโหว่เป็นการชั่วคราว (หากมีการเปิดใช้งานอยู่) เพื่อป้องกันระบบจากการถูกโจมตี
โดยหากต้องการปิดใช้งาน FortiCloud login สามารถเข้าไปที่เมนู System -> Settings และเปลี่ยนการตั้งค่าในหัวข้อ Allow administrative login using FortiCloud SSO ให้เป็น Off อย่างไรก็ตาม ยังสามารถใช้คำสั่งผ่านหน้าจอ Command-line (CLI) ได้ ดังนี้
โดย Fortinet ได้ชี้แจงไว้ในประกาศแจ้งเตือนฉบับแรกว่า ฟีเจอร์ FortiCloud Single Sign-On (SSO) ที่ตกเป็นเป้าหมายของการโจมตีนั้น ไม่ได้ถูกเปิดใช้งานมาเป็นค่าเริ่มต้น หากอุปกรณ์ไม่ได้ลงทะเบียน FortiCare ซึ่งจะช่วยลดจำนวนอุปกรณ์ที่เสี่ยงต่อการถูกโจมตีลงได้
อย่างไรก็ตาม ในช่วงกลางเดือนธันวาคม Shadowserver ยังคงพบอุปกรณ์ Fortinet มากกว่า 25,000 เครื่องที่เปิดใช้งาน FortiCloud SSO อยู่ในขณะนี้ และอุปกรณ์มากกว่าครึ่งหนึ่งได้รับการป้องกันแล้ว แต่ Shadowserver ยังคงตรวจพบอุปกรณ์อีกกว่า 11,000 เครื่องที่ยังคงสามารถเข้าถึงได้ผ่านอินเทอร์เน็ต และมีความเสี่ยงอยู่
นอกจากนี้ CISA ยังได้เพิ่มช่องโหว่ FortiCloud SSO auth bypass flaw (CVE-2025-59718) ลงในรายการช่องโหว่ที่ถูกใช้ในการโจมตีอยู่ในปัจจุบัน และสั่งให้หน่วยงานของรัฐบาลกลางแก้ไขภายในหนึ่งสัปดาห์
ในขณะเดียวกัน ผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ critical ใน FortiSIEM โดยมีการเผยแพร่ Proof-of-Concept ออกมาสู่สาธารณะแล้ว ซึ่งช่วยให้ผู้โจมตีสามารถรันโค้ดอันตรายด้วยสิทธิ์ระดับ Root บนอุปกรณ์ที่ยังไม่ได้ติดตั้งแพตช์ได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.