Arctic Wolfは、パッチ公開からわずか数日後に、脅威アクターが最近のFortinetの脆弱性2件の悪用を開始したと警告している。
CVE-2025-59718およびCVE-2025-59719(CVSSスコア9.8)として追跡されているこの2つの欠陥は、FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerに影響する暗号署名の不適切な検証の問題として説明されている。
Fortinetは修正を展開し、12月9日にこの2つのバグに対する対策を提供した。FortiCloud SSOログイン認証を回避するために、細工されたSAMLレスポンスメッセージを介して悪用される可能性があると警告している。
SSOログイン認証は工場出荷時のデフォルト設定では無効になっているが、管理者が新しいデバイスをFortiCareに登録する際、登録ページで明示的にこの機能を無効化しない限り有効になる。
Arctic Wolfは、パッチ公開からわずか3日後の12月12日から、脅威アクターが重大度クリティカルの認証回避の欠陥を悪用しているのを観測したと述べている。
観測された侵入の一環として、FortiGateデバイスに対する悪意のあるSSOログインは通常、adminアカウントを標的にしており、複数のホスティングプロバイダーから発信されていた。
ログインに成功すると、脅威アクターはGUIインターフェースを介してデバイス構成をエクスポートした。
Arctic Wolfが指摘するように、構成ファイルにはハッシュ化された認証情報が含まれており、脅威アクターがハッシュをオフラインで解読することが知られている。
管理者には、潜在的な悪意のある活動を探索し、何らかが発見された場合は認証情報をリセットすることが推奨される。ファイアウォール管理インターフェースへのアクセスは、信頼できる内部ネットワークに制限すべきである。
悪用されているFortinetの脆弱性に対するパッチは、FortiOSのバージョン7.6.4、7.4.9、7.2.12、7.0.18、FortiProxyのバージョン7.6.4、7.4.11、7.2.15、7.0.22、FortiSwitchManagerのバージョン7.2.7および7.0.6、ならびにFortiWebのバージョン8.0.1、7.6.5、7.4.10に含まれていた。
Fortinetは、悪用を防ぐために「Allow administrative login using FortiCloud SSO」機能を無効化することを推奨している。
翻訳元: https://www.securityweek.com/in-the-wild-exploitation-of-fresh-fortinet-flaws-begins/
