Fortinet FortiGate ស្ថិតនៅក្រោមការវាយប្រហារសកម្មតាមរយៈការរំលងការផ្ទៀងផ្ទាត់ SAML SSO

ភ្នាក់ងារគំរាមកំហែងបានចាប់ផ្តើមកេងប្រវ័ញ្ចលើចំណុចខ្វះខាតសុវត្ថិភាពពីរដែលទើបនឹងបង្ហាញថ្មីនៅក្នុងឧបករណ៍ Fortinet FortiGate តិចជាងមួយសប្តាហ៍បន្ទាប់ពីការបង្ហាញជាសាធារណៈ។

ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត Arctic Wolf បាននិយាយថា ខ្លួនបានសង្កេតឃើញការឈ្លានពានសកម្មដែលពាក់ព័ន្ធនឹងការចូលប្រើប្រាស់ SSO ដ៏គ្រោះថ្នាក់នៅលើឧបករណ៍ FortiGate នៅថ្ងៃទី 12 ខែធ្នូ ឆ្នាំ 2025។ ការវាយប្រហារទាំងនេះកេងប្រវ័ញ្ចលើការរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដ៏សំខាន់ពីរ (CVE-2025-59718 និង CVE-2025-59719 ពិន្ទុ CVSS: 9.8)។ បំណះសម្រាប់ចំណុចខ្វះខាតត្រូវបានចេញផ្សាយដោយ Fortinet កាលពីសប្តាហ៍មុនសម្រាប់ FortiOS, FortiWeb, FortiProxy និង FortiSwitchManager។

"ចំណុចខ្សោយទាំងនេះអនុញ្ញាតឱ្យមានការរំលងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃការចូល SSO តាមរយៈសារ SAML ដែលបានបង្កើត ប្រសិនបើមុខងារ FortiCloud SSO ត្រូវបានបើកនៅលើឧបករណ៍ដែលរងផលប៉ះពាល់" Arctic Wolf Labs បាននិយាយនៅក្នុងព្រឹត្តិបត្រថ្មីមួយ។

គួរកត់សម្គាល់ថា ខណៈពេលដែល FortiCloud SSO ត្រូវបានបិទតាមលំនាំដើម វាត្រូវបានបើកដោយស្វ័យប្រវត្តិក្នុងអំឡុងពេលចុះឈ្មោះ FortiCare លុះត្រាតែអ្នកគ្រប់គ្រងបិទវាយ៉ាងច្បាស់លាស់ដោយប្រើការកំណត់ "អនុញ្ញាតឱ្យចូលរដ្ឋបាលដោយប្រើ FortiCloud SSO" នៅក្នុងទំព័រចុះឈ្មោះ។

នៅក្នុងសកម្មភាពព្យាបាទដែលសង្កេតឃើញដោយ Arctic Wolf អាសយដ្ឋាន IP ដែលភ្ជាប់ជាមួយអ្នកផ្តល់សេវាបង្ហោះមានកំណត់មួយចំនួន ដូចជា The Constant Company llc, Bl Networks និង Kaopu Cloud Hk Limited ត្រូវបានប្រើដើម្បីអនុវត្តការចូល SSO ព្យាបាទប្រឆាំងនឹងគណនី "admin"។

បន្ទាប់ពីការចូល អ្នកវាយប្រហារត្រូវបានគេរកឃើញថានាំចេញការកំណត់រចនាសម្ព័ន្ធឧបករណ៍តាមរយៈ GUI ទៅកាន់អាសយដ្ឋាន IP ដូចគ្នា។

អ្នកនាំពាក្យរបស់ Arctic Wolf Labs បានប្រាប់ The Hacker News ថា យុទ្ធនាការនេះនៅតែស្ថិតក្នុងដំណាក់កាលដំបូង ដោយបន្ថែមថា មានតែបណ្តាញដែលត្រូវបានត្រួតពិនិត្យមួយចំនួនតូចប៉ុណ្ណោះដែលត្រូវបានប៉ះពាល់។

វាបានបន្ថែមថា "ការស៊ើបអង្កេតរបស់យើងកំពុងបន្តទៅលើប្រភពដើម និងលក្ខណៈនៃសកម្មភាពគំរាមកំហែងនេះ ហើយយើងមិនអាចសន្មតថាការវាយប្រហារនេះទៅក្រុមអ្នកគំរាមកំហែងជាក់លាក់ណាមួយនៅពេលនេះទេ"។ "រហូតមកដល់ពេលនេះ គំរូនៃសកម្មភាពហាក់ដូចជាមានលក្ខណៈឱកាសនិយម"។

ដោយសារតែសកម្មភាពកេងប្រវ័ញ្ចដែលកំពុងបន្តកើតមាន អង្គការនានាត្រូវបានណែនាំឱ្យអនុវត្តបំណះឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន។ ជាការបន្ធូរបន្ថយ វាមានសារៈសំខាន់ណាស់ក្នុងការបិទ FortiCloud SSO រហូតដល់ឧទាហរណ៍ត្រូវបានធ្វើបច្ចុប្បន្នភាពទៅកំណែចុងក្រោយបំផុត និងកំណត់ការចូលប្រើចំណុចប្រទាក់គ្រប់គ្រងនៃជញ្ជាំងភ្លើង និង VPN សម្រាប់អ្នកប្រើប្រាស់ផ្ទៃក្នុងដែលទុកចិត្ត។

លោក Arctic Wolf បាននិយាយថា "ទោះបីជាព័ត៌មានសម្ងាត់ជាធម្មតាត្រូវបាន hashed នៅក្នុងការកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញក៏ដោយ ក៏អ្នកគំរាមកំហែងត្រូវបានគេដឹងថាបំបែក hashes ក្រៅបណ្តាញ ជាពិសេសប្រសិនបើព័ត៌មានសម្ងាត់ខ្សោយ និងងាយនឹងរងការវាយប្រហារតាមវចនានុក្រម"។

អតិថិជន Fortinet ដែលរកឃើញសូចនាករនៃការសម្របសម្រួល (IoCs) ស្របនឹងយុទ្ធនាការត្រូវបានណែនាំឱ្យសន្មតថាការសម្របសម្រួល និងកំណត់ព័ត៌មានសម្ងាត់ជញ្ជាំងភ្លើងដែលបាន hashed ដែលបានរក្សាទុកនៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលបាន exfiltrated ឡើងវិញ។

ការអាប់ដេត 

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធសហរដ្ឋអាមេរិក (CISA) នៅថ្ងៃទី 16 ខែធ្នូ ឆ្នាំ 2025 បានបន្ថែម CVE-2025-59718 ទៅក្នុងកាតាឡុកភាពងាយរងគ្រោះដែលបានកេងប្រវ័ញ្ច (KEV) របស់ខ្លួន ដែលតម្រូវឱ្យទីភ្នាក់ងារសាខាប្រតិបត្តិស៊ីវិលសហព័ន្ធ (FCEB) អនុវត្តការជួសជុលនៅត្រឹមថ្ងៃទី 23 ខែធ្នូ ឆ្នាំ 2025។