ແຮັກເກີເລີ່ມໂຈມຕີຊ່ອງໂຫວ່ Authentication Bypass ໃນ Fortinet ຫຼັງຈາກອອກແພັດ

ບໍລິສັດ Fortinet ໄດ້ອອກປະກາດເຕືອນຄວາມປອດໄພໃນວັນທີ 9 ທັນວາ ກ່ຽວກັບຊ່ອງໂຫວ່ຄວາມປອດໄພ 2 ລາຍການ ໄດ້ແກ່ CVE-2025-59718 ແລະ CVE-2025-59719 ຊຶ່ງເປັນຊ່ອງໂຫວ່ປະເພດ FortiCloud SSO Authentication Bypass ທີ່ອາດອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີ Login ເຂົ້າລະບົບໄດ້ໂດຍບໍ່ຕ້ອງຜ່ານການຢືນຢັນຕົວຕົນທີ່ຖືກຕ້ອງ

ສຳລັບ CVE-2025-59718 ສົ່ງຜົນກະທົບຕໍ່ FortiOS, FortiProxy ແລະ FortiSwitchManager ໂດຍເກີດຈາກການກວດສອບ Cryptographic Signature ໃນຂໍ້ຄວາມ SAML ບໍ່ຖືກຕ້ອງ ເຮັດໃຫ້ແຮັກເກີສາມາດສົ່ງ SAML Assertion ທີ່ຖືກດັດແປງເພື່ອ Login ເຂົ້າລະບົບໄດ້
ຂະນະທີ່ CVE-2025-59719 ສົ່ງຜົນກະທົບຕໍ່ FortiWeb ໂດຍມີສາເຫດມາຈາກບັນຫາການກວດສອບ Signature ຂອງ SAML Messages ເຊັ່ນດຽວກັນ

ທີມວິໄຈຈາກ Arctic Wolf ໄດ້ກວດພົບການໂຈມຕີທີ່ນຳຊ່ອງໂຫວ່ທັງສອງນີ້ໄປໃຊ້ຈິງ ຕັ້ງແຕ່ວັນທີ 12 ທັນວາ ໂດຍພົບການເຊື່ອມໂຍງກັບ IP Address ຫຼາຍແຫ່ງ ທີ່ກ່ຽວຂ້ອງກັບ The Constant Company, BL Networks ແລະ Kaopu Cloud HK

ຜູ້ໂຈມຕີມຸ່ງເປົ້າໄປທີ່ບັນຊີຜູ້ດູແລລະບົບ (Administrator) ໂດຍໃຊ້ການ Login ຜ່ານ SSO ແບບປອມ ເມື່ອໄດ້ສິດທິລະດັບຜູ້ດູແລແລ້ວ ແຮັກເກີຈະເຂົ້າເຖິງ Web Management Interface ແລະ ດາວໂຫຼດໄຟລ໌ Configuration ຂອງລະບົບ ຊຶ່ງອາດເປີດເຜີຍຂໍ້ມູນສຳຄັນເຊັ່ນ: ໂຄງສ້າງເຄືອຂ່າຍ, Firewall Policies, Routing Tables ແລະ Hashed Password ທີ່ອາດຖືກ Crack ໄດ້ ຫາກຕັ້ງຄ່າບໍ່ຮັດກຸມ

Fortinet ລະບຸວ່າ ຊ່ອງໂຫວ່ທັງສອງສາມາດຖືກໂຈມຕີໄດ້ກໍ່ຕໍ່ເມື່ອເປີດໃຊ້ງານ FortiCloud SSO ເທົ່ານັ້ນ ໂດຍຟີເຈີນີ້ບໍ່ແມ່ນຄ່າ Default ແຕ່ຈະຖືກເປີດອັດຕະໂນມັດເມື່ອລົງທະບຽນອຸປະກອນຜ່ານ FortiCare

ເພື່ອຫຼຸດຄວາມສ່ຽງ Fortinet ແນະນຳໃຫ້ຜູ້ດູແລລະບົບປິດການໃຊ້ງານ FortiCloud Login ຊົ່ວຄາວ ໂດຍເຂົ້າໄປທີ່
System → Settings → Allow administrative login using FortiCloud SSO = Off
ຈົນກວ່າຈະອັບເດດເປັນເວີຊັນທີ່ປອດໄພ

ຫາກພົບສັນຍານການຖືກໂຈມຕີ ຄວນປ່ຽນ Credentials ຂອງ Firewall ທັນທີ ແລະ ຈຳກັດການເຂົ້າເຖິງ Management Interface ໃຫ້ສະເພາະເຄືອຂ່າຍພາຍໃນທີ່ເຊື່ອຖືໄດ້ເທົ່ານັ້ນ

ທີ່ມາ: BleepingComputer

295 Views