Fortinet บล็อกการโจมตี FortiCloud SSO ชั่วคราว หลังพบ Zero-Day ถูกใช้จริง รอแพตช์ถาวร

หลังจากมีการยืนยันว่าพบ ช่องโหว่ Zero-Day ระดับร้ายแรง ในระบบ FortiCloud Single Sign-On (SSO) ซึ่งกำลังถูกแฮกเกอร์ใช้งานโจมตีจริง ล่าสุดFortinet ออกมาตรการฉุกเฉินด้วยการ ระงับบัญชี FortiCloud และปิดการทำงานของ FortiCloud Single Sign-On (SSO) บางส่วนในระดับเซิร์ฟเวอร์ หลังตรวจพบว่าช่องโหว่ Zero-Day กำลังถูกแฮกเกอร์นำไปใช้โจมตีจริงในระบบของลูกค้าองค์กรหลายรายทั่วโลก

โดยการบล็อกดังกล่าวเริ่มต้นตั้งแต่ปลายเดือนมกราคม 2026 เพื่อหยุดการโจมตีทันที ก่อนที่แพตช์อย่างเป็นทางการจะเสร็จสมบูรณ์และปล่อยให้ลูกค้านำไปอัปเดต

บริษัทระบุว่า บัญชี FortiCloud ที่เกี่ยวข้องกับการโจมตีถูกปิดใช้งานทันที และระบบ SSO ถูกจำกัดการทำงานเฉพาะอุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชันปลอดภัยเท่านั้น มาตรการนี้ถูกดำเนินการฝั่งเซิร์ฟเวอร์ของ FortiCloud โดยตรง เพื่อป้องกันไม่ให้ผู้โจมตีสามารถใช้กลไก SSO เป็นทางผ่านเข้าสู่ระบบบริหารจัดการของอุปกรณ์ความปลอดภัยได้อีกในระหว่างรอแพตช์ถาวร

Fortinet ย้ำว่าการตัดสินใจครั้งนี้เป็นการ “หยุดเลือดก่อนผ่าตัด” เพราะช่องโหว่ดังกล่าวถูกใช้งานโจมตีจริงแล้ว และมีความเสี่ยงสูงต่อโครงสร้างพื้นฐานขององค์กรที่ใช้ FortiGate, FortiManager และ FortiAnalyzer เชื่อมต่อกับ FortiCloud

ทั้งนี้ช่องโหว่ Zero-Day ระดับร้ายแรง ในระบบ FortiCloud Single Sign-On (SSO) ซึ่งกำลังถูกแฮกเกอร์ใช้งานโจมตีจริงอยู่นี้ ส่งผลให้ผู้โจมตีสามารถปลอมการยืนยันตัวตนและเข้าถึงอุปกรณ์ความปลอดภัยอย่าง FortiOS, FortiManager และ FortiAnalyzer ได้ แม้จะเป็นระบบที่อัปเดตเฟิร์มแวร์ล่าสุดก็ตาม

ช่องโหว่นี้ได้รับรหัส CVE-2026-24858 และได้รับการจัดอันดับความร้ายแรงสูงสุดเกือบเต็ม (CVSS 9.4) ซึ่งหมายความว่าผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบใหม่และดึงข้อมูลคอนฟิกูเรชันของไฟร์วอลล์ออกไปในไม่กี่วินาทีหลังการโจมตีเริ่มขึ้นจริงในช่วงกลางเดือนมกราคมที่ผ่านมา

Fortinet เปิดเผยว่าการโจมตีครั้งแรกถูกพบเมื่อวันที่ 21 มกราคม 2026 โดยแฮกเกอร์ได้ใช้บัญชี FortiCloud ที่เป็นอันตรายเข้าสู่ระบบ FortiCloud SSO จากนั้นสร้างบัญชี admin ใหม่บนอุปกรณ์เป้าหมาย ทำให้สามารถตั้ง VPN และขโมยข้อมูลคอนฟิกของไฟร์วอลล์ได้อย่างรวดเร็ว รายงานจากผู้เชี่ยวชาญด้านไซเบอร์อย่าง Arctic Wolf ชี้ว่าการโจมตีดังกล่าวเป็นไปในลักษณะอัตโนมัติและมีความคล้ายคลึงกับเหตุการณ์โจมตีช่องโหว่ FortiCloud SSO ก่อนหน้านี้ที่เกิดขึ้นในเดือนธันวาคม 2025

ที่มา