FortiGateファイアウォールが、SSO保護を回避する方法を突き止めた悪党によって、ひそかに再設定され、機能を削られたうえで、機器からそのまま機密設定を奪われています。
これは、セキュリティ企業Arctic Wolfによる警告によるものです。同社は、1月15日から始まった自動化された悪意ある活動の波を確認したとしており、侵害されたSSOアカウントを介してFortinetのFortiGateアプライアンスを標的にし、ファイアウォール設定の変更、バックドア用の管理者ユーザー作成、設定ファイルの流出を行っているとしています。
Arctic Wolfによれば、攻撃者は単に様子見しているのではありません。侵入者は新たな管理者アカウントを作成し、VPNおよびファイアウォールのルールを調整し、完全な設定をエクスポートします。これらの設定には機密の認証情報や内部ネットワークの詳細が含まれることが多く、次に何を攻撃すべきかの地図を攻撃者に渡すのと同じです。
「上記の出来事はすべて数秒以内に相次いで発生しており、自動化された活動の可能性を示している」とArctic Wolfは述べました。
Arctic Wolfが確認していないのは、新たな脆弱性です。むしろ、この挙動は不穏なほどに悪用と一致します。この活動は、2件の重大な認証バイパスのバグ(CVE-2025-59718およびCVE-2025-59719)に起因しており、細工されたSAMLレスポンスによってSSOログインチェックを回避できるものです。これらのパッチは昨年12月に提供されましたが、Arctic Wolfの勧告は、CVE-2025-59718に対するパッチ回避を攻撃者が悪用し、すでに修正済みと考えられていたファイアウォールを侵害していると信じる管理者からの報告が増えている状況を受けたものです。
Redditでは、影響を受けた管理者が、12月上旬にFortiOS 7.4.9のリリースで修正済みとされていたにもかかわらず、FortiOS 7.4.10ではSSO認証バイパスが完全には解消されていないことをFortinetが非公開で認めたと述べています。複数の顧客が、完全に更新されたシステムで侵入を確認したと報告しています。
Fortinetは現在、CVE-2025-59718に完全に対処するため、今後数日以内にFortiOS 7.4.11、7.6.6、8.0.0という追加リリースを準備しているとされています。
影響を受けた顧客が共有したログによると、攻撃者は[email protected]というアドレスから、IPアドレス104.28.244.114を発信元としてSSO経由でログインし、その後に新たな管理者ユーザーを作成しています。これらの指標は、Arctic Wolfが現在のFortiGate攻撃を分析する中で観測した活動、および12月に見られた同様の悪用の試みと一致します。
Arctic Wolfは、Fortinetの次の修正が提供されるまで、組織に対しFortiGateの管理者アカウントの監査、最近の設定変更の確認、認証情報のローテーション、SSO活動の厳重な監視を促しています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/22/fortigate_firewalls_hit_by_silent/
