インターネットセキュリティ監視団体のShadowserverは、重大な認証バイパス脆弱性を狙った攻撃が継続する中、FortiCloud SSOが有効化された状態でオンラインに露出しているFortinetデバイスが25,000台超見つかったと発表しました。
Fortinetは12月9日、CVE-2025-59718(FortiOS、FortiProxy、FortiSwitchManager)およびCVE-2025-59719(FortiWeb)として追跡されているこの脆弱性について、セキュリティ欠陥を修正 した際、脆弱なFortiCloud SSOログイン機能は、管理者が同社のFortiCareサポートサービスにデバイスを登録するまで有効にならないと述べました。
サイバーセキュリティ企業Arctic Wolfが月曜日に報告したように、この脆弱性は現在、悪意のあるシングルサインオン(SSO)ログインを介して管理者アカウントを侵害するために積極的に悪用されています。
脅威アクターは、悪意をもって細工したSAMLメッセージを用いて脆弱な製品を悪用し、Web管理インターフェースへの管理者レベルのアクセスを獲得して、システム設定ファイルをダウンロードしています。これらの機密ファイルには、潜在的に脆弱なインターフェース、攻撃者が解読し得るハッシュ化パスワード、インターネットに公開されたサービス、ネットワーク構成、ファイアウォールポリシーなどが含まれます。
本日、Shadowserverは、FortiCloud SSOのフィンガープリントを持つ25,000超のIPアドレスを追跡しており、そのうち米国が5,400超、インドが約2,000だと述べました。
ただし、CVE-2025-59718/CVE-2025-59719の脆弱性を悪用する攻撃に対して、どれだけが保護済みかについては、現時点で情報はありません。
また、マクニカの脅威リサーチャーである清治山豊氏はBleepingComputerに対し、自身のスキャンでFortiCloud SSOが有効化されたFortinetデバイスが30,000台超返ってきたと述べました。これらもまた、脆弱なWeb管理インターフェースをインターネットに露出させています。
「過去にFortiOSの管理GUI脆弱性がどれほど頻繁に悪用されてきたかを考えると、これほど多くの管理インターフェースが公開状態のまま残っているのは驚きです」と清治山氏は述べました。
火曜日、CISAはFortiCloud SSOの認証バイパス欠陥を、積極的に悪用されている脆弱性のカタログに追加し、拘束力のある運用指令22-01に基づき、米国政府機関に対して12月23日までの1週間以内にパッチを適用するよう命じました。
Fortinetのセキュリティ欠陥は、サイバー諜報、サイバー犯罪、またはランサムウェアの各グループによって、しばしばゼロデイ脆弱性として頻繁に悪用されています。
例えば2月には、Fortinetが開示したところによると、悪名高い中国のハッキンググループVolt Typhoonが、2つのFortiOS SSL VPNの欠陥(CVE-2023-27997およびCVE-2022-42475)を悪用して、カスタムのCoathangerリモートアクセス型トロイの木馬(RAT)マルウェアを用い、オランダ国防省の軍事ネットワークにバックドアを仕掛けました。
より最近では11月、Fortinetは、別のFortiWebゼロデイ(CVE-2025-64446)を密かに修正していたことを確認してから1週間後に、野外で悪用されているFortiWebのゼロデイ(CVE-2025-58034)について警告しました。その別のゼロデイ(CVE-2025-64446)は、広範な攻撃で悪用されていたものでした。
