- ハッカーがFortinet FortiGateのSSOのバグを悪用し、ファイアウォールの設定データを窃取
- FortiOS 7.4.10のパッチは不完全;脆弱性を完全に修正する新バージョンを予定
- 盗まれたファイアウォールデータにより、ネットワークトポロジー、VPN、セキュリティルールが露呈し、さらなる攻撃につながる
サイバー犯罪者は、Fortinet FortiGateインスタンス向けの最近のパッチに残った穴を突いているようで、この脆弱性を悪用して管理者アカウントを作成し、ファイアウォールの設定データを盗み出している。
Arctic Wolfのセキュリティ研究者は、ハッカーがシングルサインオン(SSO)機能のバグを悪用してアカウントを作成し、ファイアウォール設定をエクスポートしているのを確認したと述べており、おそらく自動化スクリプトによるものだという。
この活動は、12月に観測されたものに似ており、その際には脅威アクターが2つの欠陥(CVE-2025-59718およびCVE-2025-59719)を悪用していた。
新バージョンが準備中
「初期侵入の詳細に関するパラメータはまだ完全には確認されていないものの、現在のキャンペーンは、Arctic Wolfが2025年12月に説明したキャンペーンと類似している」とArctic Wolfはレポートで述べた。
「現時点では、今回観測された最新の脅威活動が、当初CVE-2025-59718およびCVE-2025-59719に対処したパッチで完全にカバーされているかどうかは不明である。」
Fortinetは報告を認めたとみられ、FortiOSバージョン7.4.10では前述の脆弱性を完全には修正できていないと述べている。
すでに複数のリリース、具体的には7.4.11、7.6.6、8.0.0が準備中で、これらにより本問題は完全に解消される見込みだ。これらのバージョンは数日以内にリリースされる予定である。Shadowserverのデータによれば、脆弱なエンドポイントは1万件以上存在する。
この攻撃は非常に危険だ。ファイアウォールの設定データからは、ネットワーク全体のトポロジー、セキュリティルール、VPN設定、認証メカニズムが明らかになり、犯罪者が露出しているサービスを特定し、制御を回避し、横展開し、VPNや信頼された接続を通じてアクセスを維持または再取得できるようになる。
このデータは、接続されたパートナーネットワークへの攻撃に使われたり、他の脅威アクターに販売されたりする可能性もある。
組織がリスクにさらされている場合、Fortinetが修正するまでの間、FortiCloudログイン機能を一時的にオフにすることを検討してほしい。次のコマンドを実行することもできる:
config system global
set admin-forticloud-sso-login disable
end
