🚨 ด่วน! Fortinet สั่งระงับ FortiCloud SSO หลังพบ Zero-Day ตัวร้าย (CVE-2026-24858) ถูกแฮกจริง!
สาย IT และ Network Admin ต้องรีบเช็ก! ล่าสุด Fortinet ตัดสินใจใช้มาตรการฉุกเฉินแบบ “หยุดเลือดก่อนผ่าตัด” (Server-side Mitigation) ด้วยการสั่งระงับบัญชีและจำกัดการทำงานของระบบ Single Sign-On (SSO) บน FortiCloud ทันที หลังตรวจพบการโจมตีองค์กรหลายแห่งทั่วโลก
📌 เจาะลึก… เกิดอะไรขึ้น?
ช่องโหว่รหัส CVE-2026-24858 นี้มีความรุนแรงระดับวิกฤต (CVSS 9.4) ซึ่งถือเป็นฝันร้ายของคนทำ Security เพราะ:
ปลอมตัวเนียน: แฮกเกอร์สามารถ Bypass การยืนยันตัวตนผ่านกลไก SSO และเข้ายึดสิทธิ์ระดับสูงได้ในไม่กี่วินาที
ไม่ต้องมี User: โจมตีได้จากภายนอก (Remote) โดยไม่ต้องมีบัญชีผู้ใช้จริงมาก่อน
เป้าหมายชัดเจน: มุ่งเน้นไปที่การสร้างบัญชี Admin ใหม่ เพื่อดาวน์โหลดไฟล์ Configuration ของไฟร์วอลล์ และฝังตัวผ่านการสร้างช่องทาง VPN ส่วนตัว
⚠️ ไทม์ไลน์ที่น่ากังวล:
การโจมตีนี้ถูกตรวจพบครั้งแรกเมื่อวันที่ 21 มชกราคม 2026 โดยพบว่าแฮกเกอร์ใช้บัญชี FortiCloud ที่เป็นอันตรายเข้าสู่ระบบแบบอัตโนมัติ ซึ่งมีรูปแบบคล้ายกับเหตุการณ์โจมตีใหญ่ในช่วงปลายปี 2025 ที่ผ่านมา
✅ มาตรการฉุกเฉินจาก Fortinet (Server-side Block):
เนื่องจากแพตช์ถาวรยังไม่พร้อมใช้งาน Fortinet จึงใช้วิธีแก้ที่ต้นทาง:
ปิดกั้นบัญชีต้องสงสัย: ระงับบัญชี FortiCloud ที่มีพฤติกรรมผิดปกติทันที
จำกัดสิทธิ์ SSO: อนุญาตให้ใช้งานได้เฉพาะอุปกรณ์ที่รันเฟิร์มแวร์เวอร์ชันปลอดภัยเท่านั้น
Server-side Mitigation: บล็อกการเชื่อมต่อ SSO บางส่วนในระดับเซิร์ฟเวอร์เพื่อป้องกันแฮกเกอร์ใช้เป็นทางผ่าน
วิธีตรวจสอบว่าเราโดนหรือยัง?
เหล่า Admin ควรตรวจสอบ Log ใน FortiGate,
FortiManager และ FortiAnalyzer โดยด่วน:ล
ส่องหาการสร้างบัญชี Admin ใหม่ที่ไม่ได้มาจากทีมงาน (โดยเฉพาะชื่อแปลกๆ)
ตรวจสอบ Log ของ FortiCloud SSO ว่ามีการ Login มาจาก IP ต่างประเทศที่ไม่คุ้นเคยหรือไม่
หากพบสิ่งผิดปกติ ให้ทำการ Revoke สิทธิ์บัญชีนั้นทันที และเตรียมเปลี่ยนรหัสผ่าน/Token ของบัญชีสำคัญ
สถานการณ์นี้ย้ำเตือนว่า แม้ระบบจะอัปเดตล่าสุด แต่ความเสี่ยง Zero-Day ก็เกิดขึ้นได้เสมอ ฝากแชร์ให้เพื่อนร่วมสายงานระวังตัวกันด้วยนะครับ!
About the Author
