Fortinetは、完全に最新の状態だと思われていたデバイスで不審なログインが報告されたことを受け、FortiCloudのシングルサインオン(SSO)認証の重大な欠陥に対する12月のパッチが、攻撃者によって依然として積極的に回避されていることを確認した。
新たなアドバイザリでFortinetは、ベンダーの以前の修正をすでに適用していたシステムであっても、FortiOSにおけるSAMLベースのSSOを悪用するために使われている新しい攻撃経路を特定したと述べた。
この開示は、侵害されたSSOアカウントを介してFortiGateファイアウォールが密かに再設定され、攻撃者がファイアウォール設定を変更し、バックドア用の管理者ユーザーを作成し、設定ファイルを流出させたという今週初めの報道に続くものだ。
Arctic Wolfによると、このキャンペーンは1月15日ごろに始まり、攻撃者はVPN有効のアカウントを作成し、数秒のうちにファイアウォールの設定ファイルを引き抜いたという。これは、慎重な手動操作というより自動化を強く示唆する挙動だ。同社はまた、この活動が、Fortinetが「パッチ済み」とされるSSO認証バイパスの欠陥を開示した直後の12月に観測したインシデントと非常によく似ていると付け加えた。
「最近、少数の顧客から、以前の問題と非常によく似た予期しないログイン活動がデバイス上で発生しているとの報告がありました」と、Fortinetの最高情報セキュリティ責任者(CISO)であるCarl Windsorは述べた。
「しかし、過去24時間で、攻撃時点で最新リリースへ完全にアップグレードされていたデバイスが悪用されたケースを複数確認しており、これは新たな攻撃経路を示唆していました。」
「Fortinetの製品セキュリティがこの問題を特定しており、当社はこの事象を是正するための修正に取り組んでいます」とWindsorは述べた。「修正の範囲とスケジュールが判明次第、アドバイザリを発行します。」
これまでのところ悪用はFortiCloud SSO経由でのみ観測されているが、Windsorは、根本的な弱点はそのサービスに限定されないと警告した。
「現時点ではFortiCloud SSOの悪用のみが観測されていますが、この問題はすべてのSAML SSO実装に当てはまります。」これは、これらの機器を厳重に守る責任を負う人々を落ち着かせるような詳細ではないだろう。
Fortinetは代替の攻撃経路に関する技術的な詳細をまだ公表していないが、調査は継続中だとしている。それまでの間、同社は顧客に対し、認証ログで予期しないログイン活動がないか確認し、管理インターフェースの露出を制限し、管理者アカウントの変更を厳重に監視するよう助言した。
当面、Fortinetの顧客はログを監視し、次の修正を待つしかない――今度こそ本当に扉が閉じられることを願いながら。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/23/fortinet_fortigate_patch/
