ハッカーが、複数のFortinet製品に影響する重大度の高い脆弱性を悪用し、管理者アカウントへの不正アクセスを取得してシステムの設定ファイルを窃取しています。
この2つの脆弱性はCVE-2025-59718およびCVE-2025-59719として追跡されており、Fortinetは12月9日、悪用の可能性についてアドバイザリで警告しました。
CVE-2025-59718は、FortiOS、FortiProxy、FortiSwitchManagerに影響するFortiCloud SSOの認証バイパスです。SAMLメッセージにおける暗号署名の検証が不適切であることが原因で、攻撃者は悪意を持って細工したSAMLアサーションを送信することで、有効な認証なしにログインできてしまいます。
CVE-2025-59719は、FortiWebに影響するFortiCloud SSOの認証バイパスです。SAMLメッセージの暗号署名検証に関する同様の問題に起因し、偽造されたSSOにより未認証のまま管理者アクセスが可能になります。
どちらの問題も、FortiCloud SSOが有効になっている場合にのみ悪用可能で、これは既定の設定ではありません。 ただし、この機能を明示的に無効化しない限り、FortiCareのユーザーインターフェースからデバイスを登録すると自動的に有効化されます。
管理者アカウントを標的に
サイバーセキュリティ企業Arctic Wolfの研究者は、12月12日からこの2つのセキュリティ脆弱性を悪用する攻撃を観測しました。侵入は、The Constant Company、BL Networks、Kaopu Cloud HKに関連付けられた複数のIPアドレスから発生していたとしています。
Arctic Wolfの観測によると、攻撃者は以下のログに見られるように、悪意のあるシングルサインオン(SSO)ログインで管理者アカウントを標的にしました。
出典: Arctic Wolf
管理者レベルのアクセスを取得した後、ハッカーはWeb管理インターフェースにアクセスし、システムの設定ファイルをダウンロードするなどの操作を行いました。
出典: Arctic Wolf
設定ファイルには、ネットワーク構成、インターネットに公開されているサービス、ファイアウォールポリシー、潜在的に脆弱なインターフェース、ルーティングテーブル、さらに(弱い場合は解読され得る)ハッシュ化パスワードなどが含まれる可能性があります。
これらのファイルが持ち出されていることは、脆弱なエンドポイントをマッピングする研究者による活動ではないことを示唆しています。悪用は将来の攻撃を支援し得る悪意ある作戦の一部です。
攻撃の遮断
この2つの欠陥は、FortiOS 6.4、FortiWeb 7.0、FortiWeb 7.2を除く、複数バージョンのFortinet製品に影響します。
攻撃を防ぐため、Fortinetは、脆弱なバージョンを使用している管理者に対し、より安全なバージョンへアップグレードできるまでの間、FortiCloudログイン機能を一時的に無効化することを推奨しています。
これは、System → Settings → “Allow administrative login using FortiCloud SSO” = Offから実施できます。
システム管理者には、両方の脆弱性に対処した以下のいずれかのバージョンへ移行することが推奨されます。
- FortiOS 7.6.4以上、7.4.9以上、7.2.12以上、7.0.18以上
- FortiProxy 7.6.4以上、7.4.11以上、7.2.15以上、7.0.22以上
- FortiSwitchManager 7.2.7以上、7.0.6以上
- FortiWeb 8.0.1以上、7.6.5以上、7.4.10以上
侵害の兆候が見つかった場合は、できるだけ早くファイアウォールの認証情報をローテーションすることが推奨されます。 Arctic Wolfはまた、ファイアウォール/VPNの管理アクセスを信頼できる内部ネットワークのみに制限することも推奨しています。
