Fortinetの顧客は、以前に修正された重大なFortiGate認証の脆弱性(CVE-2025-59718)に対するパッチ回避を攻撃者が悪用し、パッチ適用済みのファイアウォールをハッキングしている状況を確認しています。
影響を受けた管理者の1人は、Fortinetが最新のFortiOSバージョン(7.4.10)ではこの認証バイパスの脆弱性に完全には対処できていないことを認めたとされ、この脆弱性はFortiOS 7.4.9のリリースにより12月上旬にパッチ適用されているはずだったと述べました。
Fortinetはまた、このセキュリティ欠陥を完全に修正するため、今後数日以内にFortiOS 7.4.11、7.6.6、8.0.0をリリースする計画だとも報じられています。
「当社のFortiGateの1台(7.4.9、FGT60F)で悪意のあるSSOログインが発生しました。ローカル管理者アカウントが作成されたことをSIEMが検知しました。少し調べたところ、CVE-2025-59718で侵入されたときの状況とまったく同じに見えます。しかし当社は12月30日から7.4.9を使用しています」と、その管理者は述べました。
この顧客は、IPアドレス104.28.244.114からのSSOログイン([email protected])によって管理者ユーザーが作成されたことを示すログを共有しました。これらのログは、サイバーセキュリティ企業Arctic Wolfが2025年12月に確認したCVE-2025-59718の過去の悪用と類似しており、同社は攻撃者が悪意を持って細工したSAMLメッセージを介して脆弱性を積極的に悪用し、管理者アカウントを侵害していたと報告しています。
「同じ活動を確認しました。こちらも7.4.9を実行中です。同じユーザーのログインとIPアドレスでした。“helpdesk”という名前の新しいシステム管理者ユーザーが作成されました。サポートにチケットを起票しています。更新:Fortinetの開発チームは、脆弱性が残っている、またはv7.4.10で修正されていないことを確認しました」と、別のユーザーが付け加えました。
BleepingComputerは今週、これらの報告についてFortinetに複数回問い合わせましたが、同社はまだ回答していません。
Fortinetが完全にパッチ適用されたFortiOSリリースを提供するまで、管理者は攻撃からシステムを保護するため、(有効になっている場合)脆弱なFortiCloudログイン機能を一時的に無効化することが推奨されます。
FortiCloudログインを無効化するには、System -> Settingsに移動し、「Allow administrative login using FortiCloud SSO」をOffに切り替える必要があります。ただし、コマンドラインインターフェースから次のコマンドを実行することもできます。
config system global
set admin-forticloud-sso-login disable
end幸いにも、Fortinetが元のアドバイザリで説明しているとおり、攻撃で標的となったFortiCloudシングルサインオン(SSO)機能は、デバイスがFortiCareに登録されていない場合はデフォルトで有効になっていないため、脆弱なデバイスの総数は減るはずです。
しかし、Shadowserverは12月中旬に、FortiCloud SSOが有効な状態でオンラインに公開されている25,000台を超えるFortinetデバイスを依然として発見しました。現時点では半数以上が保護されており、Shadowserverは現在、インターネット経由で到達可能なものが11,000台強残っていると追跡しています。
CISAもまた、CVE-2025-59718のFortiCloud SSO認証バイパスの欠陥を、積極的に悪用されている脆弱性の一覧に追加し、連邦機関に対して1週間以内のパッチ適用を命じました。
ハッカーは現在、未パッチのデバイス上でroot権限によるコード実行を可能にし得る、公開されている概念実証(PoC)エクスプロイトコードを用いて、重大なFortinet FortiSIEMの脆弱性も積極的に悪用しています。
