Arctic Wolfは、2つの重大な認証バイパス脆弱性(CVE-2025-59718およびCVE-2025-59719)が開示された直後に、攻撃者がFortiCloud SSO経由でFortiGateデバイスへログインし、顧客ネットワークへの侵入が確認された最初の事例を報告しています。同社によると、不審な活動は2025年12月12日に始まり、これらの問題に対処するFortinetのアドバイザリは12月9日に公開されていました。
両脆弱性は、デバイスでFortiCloud SSOが有効になっている場合に限り、特別に細工されたSAMLメッセージを用いて、未認証の攻撃者がSSO認証を回避できるものです。FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerなど、複数のFortinet製品ラインが影響を受けます。Fortinetは、FortiCloud SSOログインはデフォルトで無効であるとしていますが、FortiCareを通じてデバイスを登録すると、登録時に管理者が「FortiCloud SSOを使用した管理者ログインを許可(Allow administrative login using FortiCloud SSO)」のオプションを明示的に無効化しない限り、FortiCloud SSOが自動的に有効化されます。
観測されたインシデントでは、FortiGateへの悪意あるSSOログインは少数のホスティングプロバイダーから発生していたとArctic Wolfは指摘しています。ログデータによれば、攻撃者は通常SSO経由でadminユーザーとして認証し、その後Webインターフェースを通じてデバイス設定を特定のIPアドレスへエクスポートしていました。これは「System config file has been downloaded by user admin via GUI.」のようなイベントとして記録されます。
Arctic Wolfはガイダンスの中で、攻撃者により持ち出された可能性のある設定ファイルはすべて侵害されたものとして扱うべきだと強調しています。ネットワーク機器の設定内のパスワードは通常ハッシュ化されていますが、敵対者はしばしばオフラインでのクラックを試みます。特に、パスワードが弱く辞書攻撃に弱い場合はなおさらです。また同社は、大規模な悪用キャンペーンでは専用の検索エンジンを用いて露出したデバイスを発見することが多いため、ファイアウォールおよびVPNの管理インターフェースへのアクセスを信頼できる内部ネットワークのみに制限することも推奨しています。
具体的な修正バージョンが提示されています。FortiOS 7.6では7.6.0~7.6.3が脆弱(7.6.4以降で修正)、7.4では7.4.0~7.4.8(7.4.9以降で修正)、7.2では7.2.0~7.2.11(7.2.12以降で修正)、7.0では7.0.0~7.0.17(7.0.18以降で修正)です。同様の範囲がFortiProxy(7.6.0~7.6.3 → 7.6.4以降、7.4.0~7.4.10 → 7.4.11以降、7.2.0~7.2.14 → 7.2.15以降、7.0.0~7.0.21 → 7.0.22以降)、FortiSwitchManager(7.2.0~7.2.6 → 7.2.7以降、7.0.0~7.0.5 → 7.0.6以降)、FortiWeb(8.0.0 → 8.0.1以降、7.6.0~7.6.4 → 7.6.5以降、7.4.0~7.4.9 → 7.4.10以降)についても列挙されています。Fortinetはさらに、FortiOS 6.4、FortiWeb 7.0、およびFortiWeb 7.2は影響を受けないと明確にしています。
一時的な緩和策としてFortinetは、安全なバージョンへ更新できるまで、FortiCloudログインが有効になっている場合は無効化するよう助言しています。これはSystem → Settingsで「FortiCloud SSOを使用した管理者ログインを許可(Allow administrative login using FortiCloud SSO)」をOffに切り替えるか、次のCLIコマンドを実行することで行えます。
config system global
set admin-forticloud-sso-login disable
end
