研究者らは、Fortinetが複数製品における重大な脆弱性を開示してから1週間も経たないうちに、脅威活動を発見した。
研究者らは、悪意のあるシングルサインオン(SSO)ログインを用いてFortinetのFortiGateアプライアンスを狙う侵入活動が金曜日に初めて発見されたと警告している。月曜日に公開されたブログによると、Arctic Wolfはそう述べている。
この脅威活動は、Fortinetが複数製品における2件の重大な認証バイパス脆弱性を開示してから約1週間後に発生した。Fortinetによれば、これらの欠陥は同社の製品セキュリティチームの2人のメンバーによって最初に発見されたという。
これらの欠陥はCVE-2025-59718およびCVE-2025-59719として追跡されており、デバイスで当該機能が有効になっている場合、細工されたSAMLメッセージを用いてFortiCloud SSO認証を回避できる。
Arctic Wolfの広報担当者がCybersecurity Diveに語ったところによると、同社はマネージド検知・対応サービスを通じて保護しているネットワーク上で悪意のあるログインを最初に検知したという。Arctic Wolfは、12月10日付の告知で自社顧客に当該脆弱性について当初助言しており、悪意のあるログインが検知されて以降、数十件の侵入を観測したとしている。
研究者らは依然として事案を調査中で、この脅威活動の背後に誰がいるのかは分かっていない。さらに、侵入は「機会主義的な性質のように見える」とし、特定の企業を狙ったものではないと付け加えた。
Arctic Wolfの研究者らはFortinetに連絡を取り、脅威活動に関する追加の技術的詳細を提供した。Fortinetはコメント要請に応じなかった。
Defusedも脅威活動を検知しており、週末に同社のFortinetハニーポットを悪用している7つの異なるIPが見つかったと指摘した。
Fortinetによれば、FortiCloud SSO機能は工場出荷時のデフォルト設定では有効になっていないが、管理者がグラフィカルユーザーインターフェースからデバイスを登録すると、「FortiCloud SSOを使用した管理者ログインを許可する」というトグルスイッチを管理者が無効にしない限り、その設定が有効になるという。
Fortinetは、アップグレードを適用するまでの間、脆弱なバージョンではFortiCloudログイン機能を一時的に無効化すべきだと述べた。
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、この欠陥を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」カタログに追加した。
Arctic Wolfは、ユーザーが悪意のある活動を検知した場合、ファイアウォールの認証情報をリセットすべきだと述べた。また、ファイアウォールの管理インターフェースへのアクセスを信頼できる内部ネットワークに限定することも推奨している。
翻訳元: https://www.cybersecuritydive.com/news/fortigate-devices-targeted-with-malicious-sso-logins/808132/
