Arctic Wolfは、先週明らかになった認証の穴が、未パッチのFortinetデバイスへの攻撃につながっていると述べている。
脅威アクターは、Fortinetデバイスの認証に関して新たに明らかになった脆弱性を悪用するのに時間を無駄にしていない。
Arctic Wolfの研究者は、Fortinetが12月9日に管理者へ脆弱性について警告して以降、FortiGate次世代ファイアウォールの穴を悪用しようとする悪意あるシングルサインオン(SSO)の試行が確認されていると述べた。
「2025年12月12日以降、数十件の侵入を確認しています」とArctic Wolf Labsの広報担当者はCSOに語った。「これまでのところ、活動パターンは機会主義的な性質のものに見えます。この脆弱性に直接さらされているデバイス数を推定するのは難しいものの、特殊な検索エンジンを通じて公開インターネット上からアクセス可能なFortinetアプライアンスは数十万台に上ります。これにより、脅威アクターは一度に広範なデバイス群に対して機会主義的に悪用を試みることができます。」
Arctic Wolfの勧告では、ログに悪意ある活動が見られる管理者は、流出した構成情報に保存されていたハッシュ化されたファイアウォール認証情報が侵害されたものとみなし、それらの認証情報を「できるだけ早く」リセットすべきだとしている。
火曜日、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、脆弱性の一つであるCVE-2025-59718を、既知の悪用されている脆弱性(KEV)カタログに追加した。欠陥がカタログに掲載されると、連邦政府の民間行政機関は影響を受ける製品またはサービスを直ちに是正しなければならない。CISAは、掲載は民間部門のIT部門にとっても、自社の是正やパッチ適用を優先すべきだという警告として受け取るべきだとしている。
とりわけ、脆弱性を悪用するハッカーはFortinetデバイスの設定ファイルにアクセスし、セキュリティ制御の突破を加速させる可能性がある。
認証バイパスの脆弱性であるCVE-2025-59718およびCVE-2025-59719は、FortiWeb、FortiProxy、FortiSwitchManagerデバイスを動作させるFortinetのFortiOSオペレーティングシステムに存在する。悪用された場合、当該機能がデバイスで有効になっていれば、未認証の攻撃者がFortiCloud SSOログイン認証を回避できる可能性がある。
一部の管理者にとっては、知らないうちに有効化されていた可能性がある。管理者がFortiCare製品サポートポータルを使用してデバイスを登録すると、登録ページで「FortiCloud SSOを使用した管理者ログインを許可する」設定を無効にしない限り、FortiCloud SSOは自動的に有効になる。
この脆弱性の影響を防ぐため、管理者は(有効になっている場合)FortiCloudログイン機能をオフにし、その後、機能を再度有効にする前にソフトウェアを最新バージョンへアップグレードすべきだ。
脆弱性プラットフォーム提供企業TuskiraのCEOであるPiyush Sharmaは、Fortinetは認証バイパスの脆弱性に対して迅速にパッチを提供したと述べた。
「しかし」と彼は付け加えた。「脅威アクターが新たに発見された欠陥を悪用するスピードは、従来のパッチサイクルを上回り続けており、継続的でリアルタイムの露出管理と自律的な脅威対応を提供するエージェント型AIシステムの重要な必要性を浮き彫りにしています。」
彼は、流出した設定ファイルがあれば、ハッカーがネットワークアーキテクチャを把握し、標的型攻撃キャンペーンや悪用に利用できる脆弱なインターフェースや故障点を特定できる可能性があると指摘した。また、弱いパスワードはオフラインで解析され、攻撃者が正規ユーザーになりすましてネットワーク内を横方向に移動できるようになる恐れがある。「この情報の組み合わせは、潜在的に危険で非常に精密なサイバー攻撃の土台となり、データ窃取、さらにはネットワークの完全な侵害に至る可能性があります」と彼は警告した。
Fortinetが公開したパッチを適用していない脆弱な組織は、直ちに適用すべきだと彼は述べた。
また、すべての組織は認証情報のローテーションを実践し、最小権限の原則を実装して、不要なデータ漏えいを防ぐべきだとも付け加えた。
Fortinetが推奨するデバイスソフトウェアのアップグレードに従うことに加え、Arctic Wolfは管理者に対し、デバイスの堅牢化に関するメーカーのベストプラクティスに従うよう促している。
