FortiGateファイアウォールを標的とする新たな攻撃の波

セキュリティ研究者によると、脅威アクターがFortiGateファイアウォールの設定を変更する新たな攻撃の波が確認されており、2025年12月のキャンペーンを想起させるという。

この1週間で、Arctic Wolfは、FortiGateデバイスを標的に新規ユーザーアカウントを作成し、VPNアクセス用の設定を変更し、ファイアウォールのデータを流出させる自動化攻撃を観測した。

同社によると、この活動は、Fortinet製品に存在する重大度クリティカルの認証バイパス脆弱性2件であるCVE-2025-59718およびCVE-2025-59719（CVSSスコア9.8）を標的とした、1か月前のキャンペーンと類似しているという。

ベンダーは12月上旬、これらのバグにより、細工されたSAMLレスポンスメッセージを介してFortiCloud SSOログイン認証をバイパスできると説明していた。

FortiCloudログイン機能はデフォルトでは無効だが、管理者が明示的に無効化しない限り、デバイスのUIから新しいデバイスをFortiCareに登録する際に有効化される。

その約1週間後、Arctic Wolfは、Fortinetが2件の問題に対するパッチを発表してから3日後に、脅威アクターがFortiGateファイアウォールに対してこれらのセキュリティ欠陥の悪用を開始したと警告した。

そして今回、同社は、FortiGateアプライアンスにおける悪意のあるSSOログインの新たな波を観測しており、その結果、悪意のある設定変更が行われているという。

攻撃は少数のホスティングプロバイダーから発生しており、通常は[email protected]アカウントを標的としていた。ログインから数秒以内に、攻撃者は（おそらく自動化により）デバイス設定をエクスポートしていた。

Arctic Wolfによれば、この活動が「当初CVE-2025-59718およびCVE-2025-59719に対処したパッチで完全にカバーされているかどうか」は不明だという。

Redditのユーザーは、2件のFortinet脆弱性に対する12月のパッチは不完全であり、ベンダーがこれらのバグに対する新たな修正に取り組んでいると示唆している。

2件の脆弱性の悪用を防ぐため、設定メニューから「FortiCloud SSOを使用した管理者ログインを許可」をオフに切り替えて、FortiCloudログイン機能を無効化することが推奨されている。