Fortinet รับแพตช์ยังแก้ไม่จบ ช่องโหว่ FortiCloud SSO เปิดทางแฮก FortiGate แม้อัปเดตแล้ว
Fortinet ออกมายืนยันเหตุการณ์ความปลอดภัยครั้งใหญ่หลังจากลูกค้ารายงานว่าระบบไฟร์วอลล์ที่ ได้รับการอัปเดตแพตช์ล่าสุดแล้วกลับถูกแฮกเข้าควบคุมได้ โดยช่องโหว่ที่เกี่ยวข้องคือช่องโหว่ authentication bypass ใน FortiCloud Single Sign-On (SSO) ซึ่งควรจะได้รับการแก้ไขตั้งแต่ต้นเดือนธันวาคม 2025 แต่การโจมตียังไม่หยุดลงและยังคงพบการใช้งานอย่างต่อเนื่องในอุปกรณ์ที่แพตช์แล้วจริงๆ
Fortinet ระบุว่าหลังจากมีรายงานจากผู้ใช้งานว่าอุปกรณ์ที่ถูกปรับเป็นเวอร์ชันล่าสุดยังคงมีการเข้าสู่ระบบที่ไม่พึงประสงค์โดยไม่ต้องยืนยันตัวตน ทีมงานความปลอดภัยของบริษัทได้ตรวจสอบและพบว่าการโจมตีในเดือนมกราคม 2026 นี้มีพฤติกรรม คล้ายกับเหตุการณ์ที่เกิดขึ้นในเดือนธันวาคมปีที่แล้ว ซึ่งเกี่ยวข้องกับช่องโหว่ CVE-2025-59718 และ CVE-2025-59719 ที่ส่งผลให้แฮกเกอร์สามารถสร้างข้อความ SAML ปลอมเพื่อข้ามระบบยืนยันตัวตนและล็อกอินเข้าสู่ระบบ SSO ได้
ช่องโหว่นี้ไม่ได้เป็นการเปิดใช้งานโดยค่าเริ่มต้น แต่จะถูกเปิดใช้ เมื่อผู้ดูแลระบบลงทะเบียนอุปกรณ์ผ่าน FortiCare โดยไม่ปิดฟีเจอร์ FortiCloud SSO
เมื่อถูกโจมตีสำเร็จ อาจทำให้แฮกเกอร์สามารถสร้างบัญชีผู้ดูแลระบบใหม่ เปิดการเข้าถึง VPN และขโมยไฟล์คอนฟิกของไฟร์วอลล์ได้ภายในเวลาไม่กี่วินาที ซึ่งทั้งหมดนี้เกิดขึ้นโดยอัตโนมัติผ่านคำสั่งที่ออกแบบมาเพื่อหลีกเลี่ยงระบบป้องกันพื้นฐานของอุปกรณ์
แนวทางป้องกัน
เพื่อป้องกันความเสี่ยงขั้นร้ายแรง ผู้ดูแลระบบควรพิจารณา ปิดฟีเจอร์ FortiCloud SSO ชั่วคราว จนกว่าการแก้ไขอย่างสมบูรณ์จาก Fortinet จะถูกปล่อยออกมา นอกจากนี้ควร จำกัดการเข้าถึงทางอินเทอร์เน็ตไปยังอินเทอร์เฟซการจัดการของอุปกรณ์, ตรวจสอบบันทึกการล็อกอินอย่างสม่ำเสมอ และระวังการสร้างบัญชีผู้ดูแลระบบที่ไม่ปกติ ซึ่งล้วนเป็นสัญญาณของการถูกโจมตี