FortinetのFortiGateアプライアンスは、本番環境で積極的に悪用されている2件の重大な認証バイパス脆弱性により、差し迫った脅威に直面しています。
Fortinetは2025年12月9日、CVE-2025-59718およびCVE-2025-59719に関するアドバイザリを公開し、FortiCloud SSOの認証メカニズムにおける重大な欠陥を特定しました。
これらの脆弱性により、影響を受けるアプライアンスでFortiCloud SSOが有効になっている場合、未認証の攻撃者が細工したSAMLメッセージを用いてSSOログイン保護を回避できるようになります。
2025年12月12日以降、Arctic Wolfは、世界中のFortiGateデバイスに対して悪意のあるシングルサインオン(SSO)ログインを悪用する協調的な侵入を検知しました。
脆弱性の概要
| CVE ID | CVSSスコア | 深刻度 | 攻撃ベクター | 認証の要否 |
|---|---|---|---|---|
| CVE-2025-59718 | 9.8 | 重大 | ネットワーク/未認証 | 不要 |
| CVE-2025-59719 | 9.8 | 重大 | ネットワーク/未認証 | 不要 |
FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerを含む複数のFortinet製品ラインが脆弱なままです。
FortiCloud SSOは工場出荷時設定では既定で無効ですが、管理者がGUIからFortiCareを通じてデバイスを登録すると、登録時に明示的に無効化しない限りSSOが自動的に有効になります。
脅威アクターは、複数のホスティング事業者が提供するインフラから、これらの脆弱性を悪用しています。
悪意のあるSSOログインは、特定された7つのIPアドレスから管理者アカウントを主に標的としています。
認証に成功すると、攻撃者はGUIインターフェースを通じてデバイス構成を体系的にエクスポートし、認証情報のハッシュやネットワーク構成の詳細を狙っている可能性があります。
影響を受ける製品とパッチ
| 製品 | 脆弱なバージョン | 修正済みバージョン |
|---|---|---|
| FortiOS 7.6 | 7.6.0–7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0–7.4.8 | 7.4.9+ |
| FortiOS 7.2 | 7.2.0–7.2.11 | 7.2.12+ |
| FortiOS 7.0 | 7.0.0–7.0.17 | 7.0.18+ |
| FortiProxy 7.6 | 7.6.0–7.6.3 | 7.6.4+ |
| FortiProxy 7.4 | 7.4.0–7.4.10 | 7.4.11+ |
| FortiWeb 8.0 | 8.0.0 | 8.0.1+ |
FortiOS 6.4、FortiWeb 7.0、およびFortiWeb 7.2は、これらの脆弱性の影響を受けません。
組織は、3つの重要な是正手順を優先する必要があります。第一に、影響を受けるすべてのFortinet製品を直ちに修正済みバージョンへアップグレードしてください。
第二に、悪用が疑われる場合、攻撃者がエクスポートされた構成からハッシュ化された認証情報を入手している可能性があるため、すべてのファイアウォール管理者の認証情報をリセットしてください。
第三に、管理インターフェースへのアクセスを信頼できる内部ネットワークのみに制限し、インターネットに面した悪用の試みへの露出を排除してください。
一時的な緩和策として、パッチ適用が完了するまで、システム設定またはCLIコマンドでFortiCloud SSO機能を無効化してください。
組織は、不明なIPアドレスからの不審な管理者ログインを監視し、GUIインターフェース経由の構成エクスポートに対するアラートを設定すべきです。
ゼロタッチでの悪用、自動的な管理者アカウントの標的化、そして構成への直接アクセスが組み合わさることで、このキャンペーンは極めて危険になります。ネットワーク侵害を防ぐため、直ちに対処することが不可欠です。
翻訳元: https://gbhackers.com/critical-fortigate-sso-vulnerability/
