Fortinetは、同社のエンタープライズ向けセキュリティ製品に影響する重大なFortiCloudシングルサインオン(SSO)認証バイパス脆弱性が、現在進行形で悪用されていることを確認しました。
同社は、脅威アクターがこれらの脆弱性を悪用して侵害されたデバイスへの不正な管理者アクセスを獲得しており、Fortinetのインフラに依存する組織にとって重大なリスクとなっていると明らかにしました。
2025年12月、Fortinetは社内コード監査の過程で、2件のFortiCloud SSOバイパス脆弱性(CVE-2025-59718およびCVE-2025-59719)を特定しました。
これらの欠陥により、FortiCloud SSOが有効になっている場合、認証されていない攻撃者が、FortiOS、FortiWeb、FortiProxy、FortiSwitch Managerデバイスに送信する細工されたSAMLリクエストを通じてSSO認証を回避できました。
同社は、過去のSSOバイパスの試行に類似した、顧客デバイス上での予期しないログイン活動を確認しました。
しかし、完全にパッチ適用済みのシステムに対する攻撃の成功が確認されたことは、当初開示された脆弱性を超える新たな攻撃ベクトルの存在を示しています。
セキュリティチームは、現在進行中の悪用に関連する以下のIOCを監視してください:
侵害後、脅威アクターは永続化のためにローカル管理者アカウントを作成します。Fortinetの分析によると、攻撃者はSSOアクセスを獲得した直後にこれらのアカウントを作成し、SSOの認証情報が無効化された場合でも継続的なアクセスを可能にします。
組織は、不審な時間帯に作成された予期しないエントリがないか、すべての管理者アカウントを監査してください。
Fortinetは、以下の対策を直ちに実装することを推奨しています:
管理者アクセスの制限: ローカルインポリシーを適用し、管理インターフェースへのアクセスを信頼できるIP範囲のみに制限して、インターネットに露出した管理ポートを防止してください。
FortiCloud SSOの無効化: 一時的な回避策として、システム設定またはCLIコマンド set admin-forticloud-sso-login disableによりFortiCloud SSO機能を無効化してください。
監視と更新: 組織は、パッチの提供状況についてFortinet PSIRTページを定期的に監視し、Fortinet Communityを通じてセキュリティ更新通知に登録してください。
侵害されたデバイスでIOCが発見された場合、Fortinetはシステムが完全に侵害されたものとして扱い、以下の復旧手順を実行することを推奨しています:
Fortinetは、この新たな攻撃ベクトルに対処する恒久的なパッチを積極的に開発しています。修正範囲と展開スケジュールが確定次第、更新されたアドバイザリが公開されます。
翻訳元: https://cyberpress.org/fortinet-confirms-active-exploitation/