FortiCloud SSOを含むすべてのSAML SSO実装は、未修正の欠陥を突いた攻撃により、認証バイパスおよび悪意ある設定変更の脆弱性があります。
Fortinetは、最近顧客デバイスに対して観測された新たな攻撃キャンペーンが、未修正の問題を悪用して認証を回避していることを確認した。今回の新たな攻撃は、FortiCloudのシングルサインオン(SSO)認証に関連する2つの脆弱性を標的とした12月に確認された以前のキャンペーンとは異なる。
Fortinetの製品セキュリティチームはブログ投稿で次のように述べた。「最近、少数の顧客から、デバイス上で予期しないログイン活動が発生しているとの報告があり、これは以前の問題と非常によく似ていました。しかし、過去24時間で、攻撃時点で最新リリースへ完全にアップグレードされていたデバイスが悪用されているケースを複数確認しており、これは新たな攻撃経路を示唆しています。」
Fortinetは現在、FortiCloud SSOだけでなく、すべてのSAML SSO実装に影響するこの新たな問題の修正に取り組んでいる。なお、FortiCloud SSOはデバイスでデフォルトでは有効になっていないが、管理者がデバイスの管理インターフェースからFortiCare製品サポートにデバイスを登録すると有効化される場合がある点に留意したい。
類似攻撃の報告
Fortinetは12月に、CVE-2025-59718およびCVE-2025-59719の2件の不適切な暗号署名検証の問題を修正した。これらの欠陥は、特別に細工したSAMLメッセージを送信することで、FortiCloud SSOが有効なデバイスに対して認証を回避するために悪用され得る。
パッチ公開後まもなく、攻撃者はそれらをリバースエンジニアリングし、脆弱なデバイスから設定ファイルを抽出するキャンペーンを開始した。これらのファイルには、他のユーザーアカウントのハッシュ化された認証情報や、ネットワークマッピングを可能にする詳細が含まれていた。
今週、セキュリティ企業Arctic Wolfの研究者は、1月15日頃に開始した新たな攻撃キャンペーンを観測したと報告した。このキャンペーンでは、攻撃者が同様にファイアウォール設定を抽出しただけでなく、そのアクセスを利用して新たな汎用アカウントを作成し、それらにVPNアクセス権を付与していた。
同社は当時、この活動が12月の2つの脆弱性に関連するものなのか、それとも新たなゼロデイ脆弱性によるものなのか確信が持てないとしていた。Fortinetは今回、後者であることを確認した。
12月の欠陥はFortiOS、FortiWeb、FortiProxy、FortiSwitch Managerに影響していたため、新たな問題も同じデバイスに影響すると考えるのが妥当だ。
Fortinetのブログ投稿では、Arctic Wolfの報告書に記載されたのと同じ侵害指標(IOC)に言及しており、具体的にはメールアドレス[email protected]および[email protected]で作成された悪意あるアカウントである。その他の管理者アカウントは、audit、backup、itadmin、secadmin、supportという名前で作成されている。
緩和策
これら、またはIPアドレスなど他のIOCが設定やデバイスログ内で特定された場合、システムおよびその設定は侵害されたものと見なすべきである。Fortinetは、デバイスを利用可能な最新のソフトウェアリリースへ更新し、クリーンなバックアップから設定を復元し、FortiGateデバイスに接続されている可能性のあるLDAP/ADアカウントを含め、すべての認証情報をローテーション(変更)することを推奨している。
設定項目「FortiCloud SSOを使用した管理者ログインを許可」はオフにすべきだが、サードパーティのSSOシステムが有効になっている場合は依然として悪用され得る。ネットワークエッジデバイスではインターネットからの管理者アクセスを有効にすべきではないため、Fortinet PSIRTは、管理インターフェースへのアクセスを特定のIPアドレスのサブネットのみに制限するポリシー設定を共有した。
