Fortinetは木曜日、最近の攻撃が、最新の脆弱性に対して完全にパッチが適用されたデバイスでもFortiCloudシングルサインオン(SSO)のログイン認証を回避していることを確認した。
Arctic Wolfは今週、攻撃者が自動化を活用し、FortiGateファイアウォールの設定を変更して新しいユーザーアカウントを追加し、VPNアクセスを有効化し、デバイスの設定ファイルを流出させていると警告した。
このサイバーセキュリティ企業は、この新たなキャンペーンが、FortiOS、FortiWeb、FortiProxy、およびFortiSwitch ManagerデバイスのFortiCloud SSOログイン機能に影響する重大度クリティカルの2つの欠陥(CVE-2025-59718およびCVE-2025-59719)を標的とした2025年12月の攻撃に類似していると指摘した。
Fortinetは12月上旬に2つの欠陥に対する修正をリリースし、細工されたSAMLレスポンスメッセージが、FortiCloud SSOログイン機能が有効になっているインスタンスで認証を回避するために使用される可能性があると警告していた。
木曜日、Fortinetは確認した。CVE-2025-59718およびCVE-2025-59719に対してパッチが適用されていたデバイスに対しても攻撃が成功していたという、これまでの懸念は正しかった。
「攻撃時点で最新リリースへ完全にアップグレードされていたデバイスに対して悪用が行われたケースを複数確認しており、これは新たな攻撃経路を示唆している」とFortinetは述べた。
「重要なのは、現時点ではFortiCloud SSOの悪用のみが確認されているものの、この問題はすべてのSAML SSO実装に当てはまるという点だ」と同社は付け加えた。
Fortinetは修正に取り組んでいるとしているが、提供時期の詳細は共有できないとした。
同社は、顧客が自社デバイス上の悪意ある活動を探索できるよう、侵害指標(IOC)を共有した。
組織には、インターネットからエッジデバイスへの管理アクセスを遮断し、ローカルIPアドレスに制限することが推奨されている。
「追加の回避策として、FortiCloud SSO機能を無効化することを推奨する。これにより当該手法による悪用は防げるが、サードパーティのSSOシステムによるものは防げないため、ローカルインポリシーと併用する場合にのみ推奨する」とFortinetは述べている。
翻訳元: https://www.securityweek.com/fortinet-confirms-forticloud-sso-exploitation-against-patched-devices/
