サイバーセキュリティ企業Arctic Wolfによると、Fortinet FortiGateデバイスが、自動化された攻撃の標的となっており、不正なアカウントを作成され、ファイアウォールの設定データが盗まれているという。
このキャンペーンは先週1月15日に始まり、攻撃者はデバイスのシングルサインオン(SSO)機能にある未知の脆弱性を悪用してVPNアクセス権を持つアカウントを作成し、数秒以内にファイアウォール設定をエクスポートしており、自動化された活動であることを示している。
Arctic Wolfは、水曜日にこれらの事案を報告しており、攻撃は、Fortinet製品における重大な認証バイパス脆弱性(CVE-2025-59718)の開示後に12月に記録した事案と非常によく似ていると述べている。
この欠陥により、FortiCloud SSO機能が有効になっている場合、認証されていない攻撃者が、悪意をもって細工されたSAMLメッセージを介して、脆弱なFortiGateファイアウォールのSSO認証をバイパスできる。
「初期侵入に関する詳細のパラメータはまだ完全には確認されていないものの、現在のキャンペーンは、Arctic Wolfが2025年12月に説明したキャンペーンと類似している」とArctic Wolfは述べた。「現時点では、今回観測された最新の脅威活動が、当初CVE-2025-59718およびCVE-2025-59719に対処したパッチで完全にカバーされているかどうかは不明である。」
Arctic Wolfのアドバイザリは、CVE-2025-59718の脆弱性に対するパッチ回避を攻撃者が悪用し、パッチ適用済みのファイアウォールをハッキングしている可能性があるという、Fortinet顧客からの報告の波に続くものだ。
影響を受けた管理者は、Fortinetが最新のFortiOSバージョン(7.4.10)では認証バイパスの欠陥に完全には対処できていないことを確認したと報じられており、この欠陥はFortiOS 7.4.9のリリースにより12月上旬からすでにパッチ適用されているはずだと述べた。
Fortinetはまた、CVE-2025-59718のセキュリティ欠陥に完全に対処するため、今後数日以内にFortiOS 7.4.11、7.6.6、8.0.0をリリースする計画があるとも伝えられている。
影響を受けたFortinet顧客は、IPアドレス104.28.244.114上の[email protected]からのSSOログイン後に攻撃者が管理者ユーザーを作成したことを示すログも共有しており、これはArctic Wolfが進行中のFortiGate攻撃を分析する中で検出した侵害指標と一致し、同社が12月に観測した過去の悪用とも一致する。
攻撃を阻止するためFortiCloud SSOを無効化
Fortinetがこれらの継続中の攻撃に対してFortiOSを完全にパッチ適用するまでの間、管理者は、(有効になっている場合)System -> Settingsに移動し、「Allow administrative login using FortiCloud SSO」をOffに切り替えることで、脆弱なFortiCloudログイン機能を一時的に無効化し、ファイアウォールを保護できる。
別の方法として、コマンドラインインターフェースから次のコマンドを実行することもできる。
config system global
set admin-forticloud-sso-login disable
endインターネットセキュリティ監視団体Shadowserverは現在、オンラインに公開されておりかつFortiCloud SSOが有効になっている約11,000台のFortinetデバイス を追跡している。
CISAもまた、12月16日にCVE-2025-59718を、攻撃で悪用されている既知の脆弱性カタログに追加し、連邦機関に対して1週間以内のパッチ適用を命じている。
BleepingComputerは今週、これらのFortiGate攻撃について複数回Fortinetに質問を送ったが、同社はまだ回答していない。
