TokyoBlackHatNews

cyberpress.org 4分で読了

FortinetのSSOの欠陥が積極的に悪用され、ファイアウォール侵害と管理者アクセス取得に利用

Fortinetのシングルサインオン(SSO)機能に存在する重大なセキュリティ欠陥が現在積極的に悪用されており、攻撃者がFortiGateファイアウォール上に不正な管理者アカウントを作成できる状態になっています。

CVE-2025-59718として追跡されているこの脆弱性は、FortiCloud SSOのログイン機構を実行しインターネットに公開されているデバイスに影響し、完全な管理者権限の取得に利用されています。

ここ数週間で複数の組織が同一の攻撃パターンを報告しており、これを受けてFortinetの製品セキュリティ・インシデント対応チーム(PSIRT)はフォレンジック調査を開始しました。

パッチが提供されているにもかかわらず、この欠陥は特定のバージョンで依然として残存しており、世界中の企業にとって緊急の懸念を引き起こしています。

CVE-2025-59718はFortiOSにおけるFortiCloud SSOのログイン機構を標的とし、悪意のあるSSOログイン試行を通じて認証制御を回避できるようにします。

悪用されると、脅威アクターは権限を昇格させ、通常「helpdesk」という名前のバックドア管理者アカウントを作成して、システムへの完全なアクセスを得ることができます。

この脆弱性は、管理者認証にSAMLまたはFortiCloud SSOを使用し、かつインターネットから到達可能なファイアウォールに特に影響します。

FortinetはまだCVSSスコアを公表していませんが、実環境での悪用は深刻なリスクを示しており、攻撃者はこれらの不正アカウントを通じて永続的なアクセスを確立しています。

セキュリティ専門家はRedditで最初に悪用を報告し、ユーザーu/csodesらがFGT60Fモデルを含むFortiGate 7.4.9デバイスでの事例を詳述しました。

被害者は、特定のIPアドレスからの単一の悪意あるSSOログインがローカル管理者アカウントの自動作成を引き起こし、SIEMアラートによって検知されたことを突き止めました。

あるセキュリティチームは「Local-Inポリシーのスクリプトが失敗し、デバイスがインターネットから到達可能だった」と報告しました。SAML認証を使用している別の組織も、不審な「helpdesk」アカウントの出現を確認しました。

これらの攻撃は2025年12月下旬に現れ始めており、原因として古いファームウェアバージョンは除外されます。

Fortinetの開発チームは、この脆弱性がバージョン7.4.10では未修正のままであることを確認しており、修正は今後のリリースで予定されています。

Fortinet PSIRTのCarl Windsorがフォレンジック対応を主導しています。これらの攻撃の協調性は、未パッチのFortiGateデバイスを狙う組織化された脅威アクターのキャンペーンを示唆しています。

2025年12月中旬、Shadowserver Foundationは、FortiCloud SSOが有効な状態で25,000台を超えるFortinetデバイスが公開されていることを発見し、悪用のための大きな攻撃対象領域を生み出しているとしました。

より古いバージョンも影響を受ける可能性があります。組織は、完全なバージョン詳細についてFortinetの公式アドバイザリを参照してください。

Fortinetは、SSOベースの悪用をブロックするための緊急回避策を公開しました。管理者はCLIから直ちにFortiCloud SSOログインを無効化する必要があります:

このコマンドは、ローカル認証やSAML構成を妨げることなくSSOベースの攻撃を防止します。パッチ適用後に設定を再有効化できます。

組織は直ちに以下の対応を実施してください:

ログ監査:不審なSSOログイン試行と不正な管理者アカウント(特に「helpdesk」という名前のもの)について、システムログを確認する。

ネットワーク分離:FortiGateデバイスへの管理アクセスを制限し、厳格なLocal-Inファイアウォールポリシーを適用する。

SIEM監視:管理者アカウント変更のアラートを設定し、一致するIPアドレスからのログイン試行を相関分析する。

パッチ計画:Fortinetが修正版をリリース次第、できるだけ早く固定版へアップグレードできるよう準備し、まずステージング環境で更新をテストする。

インシデント対応:侵害が疑われる場合は、直ちにすべての認証情報をローテーションし、影響を受けたデバイスを隔離し、フォレンジック支援のためFortinetサポートに連絡する。

Fortinetは近く詳細なセキュリティアドバイザリを公開すると見込まれます。

本件は、ネットワークセキュリティアプライアンスにおけるSSO実装に伴う重大なリスクを浮き彫りにし、未使用機能の無効化と厳格な監視運用の重要性を強調しています。

調査が続く中、組織は更新されたCVSSスコアおよび侵害の痕跡(IOC)に注意してください。

翻訳元: https://cyberpress.org/fortinet-sso-flaw/

ソース: cyberpress.org
#CVE-2025-59718 #FortiCloud SSO #FortiGate #Fortinet #FortiOS #SSO脆弱性 #ゼロデイ攻撃 #パッチ適用 #管理者アカウント乗っ取り #認証バイパス

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に