管理者が「完全にパッチ適用済み」のファイアウォールがハッキングされていると報告し始めてから数日後、Fortinetは、重大なFortiCloud SSO認証バイパス脆弱性を完全に解消するために取り組んでいることを確認した。この脆弱性は12月上旬以降すでに修正されているはずだった。
これは、脅威アクターがCVE-2025-59718脆弱性に対するパッチ回避を悪用し、完全にパッチ適用済みのファイアウォールを侵害しているという、Fortinet顧客からの報告の波を受けたものだ。
サイバーセキュリティ企業Arctic Wolfは水曜日に、このキャンペーンは1月15日に始まり、攻撃者がVPNアクセスを持つアカウントを作成し、数秒以内にファイアウォール設定を窃取したと述べた。これは自動化された攻撃であるように見えるという。また、Fortinet製品におけるCVE-2025-59718の重大脆弱性が公表された後、12月に同社が記録したインシデントと非常によく似ているとも付け加えた。
木曜日、Fortinetはついにこれらの報告を確認し、進行中のCVE-2025-59718攻撃は12月の悪意ある活動と一致しており、現在この欠陥を完全に修正するために取り組んでいると述べた。
影響を受けたFortinet顧客は、IPアドレス104.28.244.114上の[email protected]からのSSOログイン後に攻撃者が管理者ユーザーを作成したことを示すログも共有している。これは、Arctic Wolfが進行中のFortiGate攻撃および12月に野外で悪用された事例を分析する中で検出した侵害指標(IOC)や、木曜日にFortinetが共有したものとも一致する。
Fortinetの最高情報セキュリティ責任者(CISO)であるCarl Windsor氏は次のように述べた。「最近、少数の顧客がデバイス上で予期しないログイン活動が発生していると報告しましたが、これは以前の問題と非常によく似ていました。しかし過去24時間で、攻撃時点で最新リリースへ完全にアップグレードされていたデバイスに対して悪用が行われたケースを複数確認しており、新たな攻撃経路が示唆されました。」
「Fortinetの製品セキュリティが問題を特定しており、当社はこの事象を是正するための修正に取り組んでいます。修正の範囲とスケジュールが確定次第、アドバイザリを発行します。重要な点として、現時点ではFortiCloud SSOの悪用のみが観測されていますが、この問題はすべてのSAML SSO実装に当てはまります。」
Fortinet:管理者アクセスを制限し、FortiCloud SSOを無効化
FortinetがCVE-2025-59718脆弱性に完全に対処するまでの間、Windsor氏は、デバイスの管理インターフェースにアクセスできるIPアドレスを制限するlocal-inポリシーを適用することで、インターネット経由でのエッジネットワークデバイスへの管理アクセスを制限するよう顧客に助言した。
また管理者は、System -> Settings -> Switchに移動し、「Allow administrative login using FortiCloud SSO(FortiCloud SSOを使用した管理者ログインを許可)」オプションをオフに切り替えることで、Fortinetデバイス上のFortiCloud SSO機能を無効化すべきだ。
デバイスを侵害後の痕跡について確認する際にIOCのいずれかを検出したFortinet顧客は、「システムおよび設定が侵害されたものとして扱い」、認証情報をローテーション(LDAP/ADアカウントを含む)し、既知のクリーンなバージョンで設定を復元することが推奨されている。
インターネットセキュリティ監視団体Shadowserverは現在、FortiCloud SSOが有効な状態でオンラインに公開されている約11,000台のFortinetデバイスを追跡している。CISAも12月16日にCVE-2025-59718を積極的に悪用されている脆弱性の一覧へ追加し、連邦機関に対して1週間以内のパッチ適用を命じた。
BleepingComputerは今週、これらの継続中の攻撃についてFortinetに複数回問い合わせたが、同社はまだ回答していない。
