หน้าแรกบริการผลงานบทความเกี่ยวกับเรา
เครื่องมือ
Network ToolsShop
ขอใบเสนอราคา 096-321-7414
Knowledge Base
Knowledge BaseReferenceSecurity AdvisoriesFortiOS / FortiGate 2025 Critical CVE — เช็คเวอร์ชัน Production
ReferenceSecurity Advisoriesintermediate

FortiOS / FortiGate 2025 Critical CVE — เช็คเวอร์ชัน Production

รวม CVE ที่ critical ที่สุดของ FortiOS/FortiGate ในปี 2025 พร้อม version ที่ได้รับผลกระทบ, คำสั่ง CLI สำหรับ audit fleet และแนวทาง patch อย่างปลอดภัยสำหรับ Thai network admin

A
Apinan
C9NETWORK Editor
18 พฤษภาคม 2569
11 นาที
0auditcvefortigatefortinetfortiossecurity-advisory

1. ทำไม FortiGate ในองค์กรไทยถึงตกเป็นเป้าหมายอันดับต้น#

FortiGate เป็น Firewall ที่ได้รับความนิยมสูงสุดในกลุ่ม SMB ถึง enterprise ของไทย ด้วย install base ที่แน่น ตั้งแต่ SSL-VPN สำหรับ remote work ไปจนถึง SD-WAN และ ZTNA ในองค์กรขนาดกลาง ส่งผลให้ FortiGate กลายเป็น high-value target สำหรับ threat actor ทั่วโลก

ข้อมูลจาก Shodan และ Censys ชี้ว่ามี FortiOS 7.x admin GUI ที่เปิดสู่ internet กว่า 189,000 instance ทั่วโลก ในจำนวนนั้นประมาณ 30,000 instance มี FortiCloud SSO เปิดใช้งานและเสี่ยงต่อการโจมตีแบบ authentication bypass โดยตรง

ประวัติที่ผ่านมาของ Fortinet PSIRT แสดงให้เห็นรูปแบบชัดเจน: ช่องโหว่ pre-auth ใน SSL-VPN และ management interface ถูก exploit เร็วมากหลังจาก patch ออก บางครั้งภายใน 24-48 ชั่วโมง CISA ได้เพิ่ม CVE ของ Fortinet เข้า Known Exploited Vulnerabilities (KEV) catalog หลายรายการในปี 2025 ซึ่งสะท้อนว่า การ patch ล่าช้าแม้เพียง 1 สัปดาห์ = ความเสี่ยงสูงมาก

2. สรุป CVE Critical ปี 2025 ที่ต้องให้ความสนใจ#

CVE CVSS Component Auth Required KEV Fixed Version (FortiOS)
CVE-2025-59718 9.8 FortiCloud SSO (SAML) ไม่ต้อง ใช่ (ธ.ค. 2025) 7.6.4 / 7.4.9 / 7.2.12 / 7.0.18
CVE-2025-59719 9.1 FortiCloud SSO (SAML) ไม่ต้อง ไม่ 7.6.4 / 7.4.9 / 7.2.12 / 7.0.18
CVE-2025-24472 8.1 CSF Proxy (Security Fabric) ไม่ต้อง ใช่ 7.0.17+
CVE-2025-25249 7.4 cw_acd daemon (heap overflow) ไม่ต้อง ไม่ 7.6.1 / 7.4.7 / 7.2.11

3. CVE-2025-59718 — FortiCloud SSO Authentication Bypass (CVSS 9.8)#

รายละเอียด#

ช่องโหว่นี้อยู่ใน FortiCloud SSO login ผ่าน SAML โดยที่ FortiOS ไม่ตรวจสอบ cryptographic signature ของ SAML message อย่างถูกต้อง ทำให้ผู้โจมตีสามารถส่ง SAML response ที่ถูก craft มาเพื่อ bypass การยืนยันตัวตนและได้สิทธิ์ admin เข้าสู่ FortiGate โดยไม่ต้องมี credential ใด ๆ

CISA เพิ่ม CVE-2025-59718 เข้า KEV catalog เมื่อวันที่ 16 ธันวาคม 2025 พร้อม deadline แก้ไขภายใน 7 วัน ซึ่งสั้นผิดปกติ สะท้อนความเร่งด่วนของการ exploit ที่เกิดขึ้นจริงใน production environment

⚠️ ข้อควรระวัง

FortiCloud SSO ไม่ได้ปิดอยู่โดย default เสมอไป เมื่อ admin ลงทะเบียนอุปกรณ์ผ่าน GUI (FortiCare registration) ฟีเจอร์นี้จะถูกเปิดโดยอัตโนมัติ เว้นแต่จะ disable ด้วยตนเอง

Affected Versions#

  • FortiOS 7.0.0 – 7.0.17, 7.2.0 – 7.2.11, 7.4.0 – 7.4.8, 7.6.0 – 7.6.3

Mitigation#

  1. Upgrade ทันที: FortiOS 7.6.4, 7.4.9, 7.2.12, หรือ 7.0.18 ขึ้นไป
  2. ถ้า upgrade ยังทำไม่ได้ ให้ disable FortiCloud SSO ใน System > Settings > Administration > Allow administrative login using FortiCloud SSO → ปิด toggle
  3. ตรวจสอบ audit log หา event จาก FortiCloud หรือ SAML login ที่ผิดปกติ

4. CVE-2025-59719 — FortiCloud SSO Signature Bypass ใน FortiWeb (CVSS 9.1)#

รายละเอียด#

CVE-2025-59719 เป็นช่องโหว่คู่ของ CVE-2025-59718 ที่กระทบ FortiWeb (Web Application Firewall) ด้วยกลไกเดียวกัน คือ improper verification of SAML cryptographic signature ทำให้ผู้โจมตี unauthenticated สามารถได้สิทธิ์ admin บน FortiWeb

แม้ CVE นี้ยังไม่ถูกเพิ่มใน KEV แต่ถูก exploit ในธรรมชาติพร้อมกับ CVE-2025-59718 เนื่องจากใช้ technique เดียวกัน องค์กรที่มี FortiWeb ร่วมกับ FortiGate ควร patch ทั้งสองพร้อมกัน

Affected Versions (FortiWeb)#

  • FortiWeb 7.4.0 – 7.4.9, 7.6.0 – 7.6.4, 8.0.0

Mitigation#

  • Upgrade FortiWeb เป็น 8.0.1, 7.6.5, หรือ 7.4.10 ขึ้นไป
  • Disable FortiCloud SSO บน FortiWeb ด้วยหากยังไม่สามารถ upgrade ได้

5. CVE-2025-24472 — CSF Proxy Authentication Bypass (CVSS 8.1, KEV)#

รายละเอียด#

ช่องโหว่นี้อยู่ใน Security Fabric (CSF) proxy ของ FortiOS และ FortiProxy ผู้โจมตีที่ทราบ serial number ของ upstream และ downstream device สามารถส่ง crafted CSF proxy request เพื่อได้สิทธิ์ super-admin บน downstream device โดยไม่ต้อง authenticate

เงื่อนไขการโจมตีคือต้องเปิดใช้งาน Security Fabric ระหว่างอุปกรณ์ ซึ่งเป็นการ config ที่พบบ่อยในองค์กรที่ใช้ FortiGate หลายตัวร่วมกัน CISA เพิ่มช่องโหว่นี้เข้า KEV catalog แล้ว

ℹ️ Note

CVE-2025-24472 กระทบเฉพาะ FortiOS 7.0.x เท่านั้น ไม่กระทบ 7.2+ แต่ FortiProxy กระทบทั้ง 7.0 และ 7.2

Affected Versions#

  • FortiOS 7.0.0 – 7.0.16
  • FortiProxy 7.0.0 – 7.0.19, 7.2.0 – 7.2.12

Mitigation#

  1. Upgrade FortiOS เป็น 7.0.17 ขึ้นไป
  2. Upgrade FortiProxy เป็น 7.0.20 หรือ 7.2.13 ขึ้นไป
  3. ถ้ายังไม่ upgrade ได้: ให้ disable Security Fabric หรือ remove fabric access จากทุก interface ชั่วคราว
bashbash
config system interface
    edit <interface-name>
        set allowaccess ping https ssh fgfm
        # ลบ fabric ออกจาก allowaccess
    next
end

6. วิธี Audit FortiGate Fleet — ดึงเวอร์ชันและ report#

สำหรับ network admin ที่ดูแล FortiGate หลายตัว ขั้นตอนแรกคือรู้ให้ได้ว่า device ไหนรัน firmware เวอร์ชันอะไร

คำสั่ง CLI บน FortiGate แต่ละตัว#

bashbash
# ดู firmware version, serial number และ hostname
get system status

# ดู FortiCloud SSO status (เพื่อตรวจ CVE-2025-59718 exposure)
get system admin setting | grep forticloud

# ดูว่า Security Fabric เปิดอยู่หรือไม่ (เพื่อตรวจ CVE-2025-24472)
get system csf

# ดู interface allowaccess — ตรวจว่า fabric เปิดอยู่หรือไม่
get system interface | grep -A5 allowaccess

ตัวอย่าง output ที่ควรเห็น#

Version: FortiGate-100F v7.4.9,build2878,250315 (GA)
Serial-Number: FGT100F0000000000
Hostname: FW-MAIN-BKK

Audit ผ่าน FortiManager (ถ้ามี)#

สำหรับองค์กรที่ใช้ FortiManager บริหาร fleet ให้ใช้ Device Manager → Firmware เพื่อดู version ของทุก device พร้อมกัน และใช้ Firmware Upgrade เพื่อ push patch จากส่วนกลาง

Tip

ถ้าไม่มี FortiManager ให้ใช้ script บน jump host ที่ SSH เข้าแต่ละ device แล้ว run get system status แล้ว parse เอา version ออกมา เก็บใน spreadsheet พร้อม date สำหรับ compliance tracking

Script ตัวอย่าง (bash + sshpass)#

bashbash
#!/bin/bash
HOSTS=("192.168.1.1" "192.168.2.1" "10.10.0.1")
USER="admin"

for HOST in "${HOSTS[@]}"; do
  echo "=== $HOST ==="
  sshpass -p "$FGT_PASS" ssh -o StrictHostKeyChecking=no \
    "$USER@$HOST" "get system status" 2>/dev/null | grep "^Version"
done

7. Patch Strategy — HA Pair, Downtime Window และ Config Backup#

การ upgrade FortiOS ใน production ต้องทำอย่างระมัดระวัง โดยเฉพาะ environment ที่มี HA (High Availability) pair หรือ FortiGate ที่ทำ SSL-VPN สำหรับ user จำนวนมาก

ขั้นตอน Best Practice#

ก่อน upgrade:

  1. Backup config ทุกครั้ง — ไปที่ System > Backup หรือใช้ CLI:
    bashbash
    execute backup config ftp <backup-server-ip> <path> <user> <pass>
  2. ดาวน์โหลด firmware image จาก support.fortinet.com และตรวจ SHA256 checksum
  3. อ่าน release notes ของ target version — โดยเฉพาะ Known Issues และ Upgrade Path (บาง version ต้อง upgrade ผ่าน intermediate version)

สำหรับ HA Active-Passive:

  1. Upgrade secondary (passive) unit ก่อน — secondary จะ reboot และ sync config กับ primary
  2. ทำ manual failover: execute ha failover set 1 เพื่อให้ secondary ขึ้นเป็น primary
  3. Upgrade หน่วยที่เหลือ (ซึ่งตอนนี้เป็น secondary แล้ว)
  4. Failover กลับถ้าต้องการ
⚠️ ข้อควรระวัง

ห้าม upgrade ทั้ง primary และ secondary พร้อมกัน เพราะจะทำให้ traffic ขาดช่วง ควร downtime window ในช่วง off-peak และแจ้ง stakeholder ล่วงหน้าอย่างน้อย 48 ชั่วโมง

Downtime window ที่แนะนำ:

  • HA pair: downtime ~5-10 นาที ต่อ failover event
  • Standalone unit: downtime ~5-15 นาที ขึ้นอยู่กับ model และขนาด config

หลัง upgrade:

  1. ตรวจ get system status ยืนยัน version ถูกต้อง
  2. ทดสอบ SSL-VPN, IPsec tunnel และ policy สำคัญ
  3. ตรวจ Security Fabric sync status ถ้าใช้ FortiManager

8. สรุปและ Action Priority#

Priority Action Deadline
P0 — ทำทันที Upgrade FortiOS เพื่อ patch CVE-2025-59718/59719 (CVSS 9.8/9.1) ภายใน 48 ชั่วโมง
P0 — ทำทันที Disable FortiCloud SSO ถ้า upgrade ยังทำไม่ได้ ทันที
P1 — สัปดาห์นี้ Upgrade FortiOS 7.0.x เพื่อ patch CVE-2025-24472 (KEV) ภายใน 7 วัน
P2 — เดือนนี้ Audit ทุก device ใน fleet — บันทึก version และ exposure ภายใน 30 วัน
P2 — เดือนนี้ ตั้ง alert สำหรับ Fortinet PSIRT RSS feed ภายใน 30 วัน

สิ่งที่ควรทำเพิ่มเติม:

  • สมัครรับ Fortinet PSIRT advisory ผ่าน email หรือ RSS ที่ fortiguard.fortinet.com/psirt
  • จำกัด management access (HTTPS/SSH) ให้เข้าถึงได้เฉพาะจาก IP ของ admin เท่านั้น อย่าเปิด management interface สู่ internet โดยตรง
  • ปิด FortiCloud SSO ทุก device ที่ไม่ได้ใช้งานฟีเจอร์นี้จริง ๆ
  • ตรวจ audit log หา event ผิดปกติย้อนหลัง 30-90 วัน โดยเฉพาะ login จาก FortiCloud หรือ SAML source

FortiGate เป็นอุปกรณ์ที่แข็งแกร่งและเชื่อถือได้ แต่ความนิยมทำให้มันเป็นเป้าหมายลำดับต้น ๆ ของ threat actor การ patch สม่ำเสมอและ audit version อย่างสม่ำเสมอคือวิธีที่ดีที่สุดในการรักษาความปลอดภัยของ network infrastructure

C9NETWORK ให้บริการ FortiGate Security Audit — ตรวจ firmware version, configuration review และ exposure assessment สำหรับ fleet ทั้งหมดขององค์กร พร้อมบริการ Managed Firewall แบบ proactive monitoring และ patch management รายเดือน ติดต่อทีมงานเพื่อนัด assessment ฟรีสำหรับองค์กรในภาคใต้และทั่วประเทศไทย

← กลับไปรายการบทความ
โดย Apinan