Fortinetは、FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerに存在する2件の重大な脆弱性に対処するセキュリティアップデートをリリースしました。これらの脆弱性は、攻撃者がFortiCloud SSO認証をバイパスできてしまう可能性があります。
脅威アクターは、CVE-2025-59718(FortiOS、FortiProxy、FortiSwitchManager)およびCVE-2025-59719(FortiWeb)として追跡されている2つのセキュリティ欠陥を悪用し、細工された悪意あるSAMLメッセージを介して、脆弱な製品における暗号署名検証の不備を突くことで攻撃を行うことができます。
しかし、Fortinetが本日公開したアドバイザリで説明しているように、脆弱なFortiCloud機能は、デバイスがFortiCareに登録されていない場合、デフォルトでは有効になっていません。
「FortiCloud SSOログイン機能は、工場出荷時のデフォルト設定では有効になっていないことにご注意ください」とFortinetは述べています。「しかし、管理者がデバイスのGUIからデバイスをFortiCareに登録する際、登録ページで管理者が『FortiCloud SSOを使用した管理者ログインを許可』のトグルスイッチを無効にしない限り、登録時にFortiCloud SSOログインが有効になります。」
これらの脆弱性を悪用する攻撃からシステムを保護するため、管理者は、非脆弱バージョンにアップグレードするまでの間(有効になっている場合は)一時的にFortiCloudログイン機能を無効にすることが推奨されています。
FortiCloudログインを無効にするには、System -> Settingsに移動し、「FortiCloud SSOを使用した管理者ログインを許可」をOffに切り替えます。あるいは、コマンドラインインターフェイスから次のコマンドを実行することもできます。
config system global
set admin-forticloud-sso-login disable
end本日、同社は、攻撃者が「被害者のユーザーアカウントへのアクセスを取得した場合に、そのアカウントのパスワードを求められることなくアカウント資格情報をリセットできてしまう」未検証のパスワード変更の脆弱性(CVE-2025-59808)と、脅威アクターがパスワードの代わりにハッシュを使用して認証できてしまう別の脆弱性(CVE-2025-64471)にもパッチを適用しました。
Fortinet製品のセキュリティ脆弱性は、ランサムウェア攻撃およびサイバースパイ攻撃の両方で(しばしばゼロデイとして)頻繁に悪用されています。
たとえばFortinetは2月に、公表したとおり、中国のVolt Typhoonハッカーグループが、2つのFortiOS SSL VPNの脆弱性(CVE-2023-27997およびCVE-2022-42475)を悪用した後、カスタムのCoathangerリモートアクセス型トロイの木馬(RAT)マルウェアを用いて、オランダ国防省の軍事ネットワークにバックドアを仕掛けていたことを明らかにしました。
さらに最近では8月に、FortinetはFortiSIEMセキュリティ監視ソリューションにおいて、公開されたエクスプロイトコードが存在するコマンドインジェクションの脆弱性(CVE-2025-25256)にパッチを適用しました。これは、サイバーセキュリティ企業GreyNoiseがFortinet SSL VPNを標的とした総当たり攻撃の大規模な急増を報告した翌日のことでした。
11月には、Fortinetは攻撃で積極的に悪用されていたFortiWebのゼロデイ(CVE-2025-58034)について警告を出しました。これは、別の大規模に悪用されていたFortiWebゼロデイ(CVE-2025-64446)に対して、同社がサイレントパッチを適用していたことを確認してから1週間後のことでした。
