ネットワークセキュリティ大手のFortinetは火曜日、不適切なアクセス制御に起因するゼロデイを悪用した進行中の攻撃に対するパッチを適用するためにデバイスのファームウェアを更新するまで、クラウド顧客を同社のシングルサインオン(SSO)サービスから締め出した。
Fortinet SSOでアクセスできるのは、最新のパッチ適用済みファームウェア版を実行しているFortinetデバイスのみだと、同社は述べた。
この措置は、攻撃者がFortiCloud SSOを通じて、FortiOS、FortiManager、FortiAnalyzerにおける認証バイパス脆弱性(現在はCVE-2026-24858として追跡)を積極的に悪用し、Fortinetデバイスへの管理者レベルのアクセスを得ていることを受けたものだ。同社によれば、この脆弱性により「FortiCloudアカウントと登録済みデバイスを持つ攻撃者が、他のアカウントに登録された別のデバイスにログインできる」状態になっていた。Fortinetは、この欠陥を利用して他組織のデバイスにログオンしていた2つのFortiCloudアカウントを無効化した。
「この問題は、ある組織のFortiCloudアカウント内のデバイスにアクセスできる攻撃者が、共有されたFortiCloudインフラを介して別の組織のFortiGateデバイスへ横展開できることを可能にしているように見える」と、サイバーセキュリティ企業Rapid7のシニア・プリンシパル・リサーチャーであるStephen Fewerは述べた。
この脆弱性は、2025年12月9日にパッチが提供された他の2つのFortiCloud SSOバイパス脆弱性( CVE-2025-59718およびCVE-2025-59719として追跡)と非常によく似ているが、同一ではない。同社は、これらの欠陥はコード監査の過程で自社のセキュリティチームが発見したと述べた。
サイバーセキュリティ企業Arctic Wolfは報告で、攻撃者が12月9日の欠陥を積極的に標的化し悪用しているとし、「影響を受けるデバイスでFortiCloud SSO機能が有効になっている場合、これらの脆弱性により、細工されたSAMLメッセージを介してSSOログイン認証を未認証のままバイパスできる」と警告した。影響を受けた製品ラインにはFortiOS、FortiWeb、FortiProxy、FortiSwitchManagerが含まれていた。
新たに発見されたCVE-2026-24858は、これらの脆弱性に対する修正を回避するものではない。これは完全に新しい脆弱性だと、Rapid7は火曜日に述べた。
この脆弱性の発見は、Arctic Wolfが1月21日に報告した内容に続くもので、同社は1月15日以降、「FortiGateデバイスに対する不正なファイアウォール設定変更を伴う、新たな自動化された悪意ある活動のクラスター」を確認したとしている。
「この活動には、永続化を意図した汎用アカウントの作成、それらのアカウントにVPNアクセスを付与する設定変更、ならびにファイアウォール設定の持ち出しが含まれていた」と同社は述べた。
研究者らは当初、ハッカーが最初の一連のFortinet SSOの欠陥をバイパスしたのではないかと疑った。「最近、少数の顧客が、自社デバイス上で予期しないログイン活動が発生したと報告しており、それは以前の問題と非常によく似ていた」と、FortinetのCISOであるCarl Windsorはブログ投稿で述べた。その後の調査で、「攻撃時点で最新リリースへ完全にアップグレードされていたデバイスに対するエクスプロイトの事例が複数見つかり、新たな攻撃経路を示唆していた」という。
SSOを有効化できるすべてのFortinetデバイスは、CVE-2026-24858の潜在的なリスクにさらされている。「現時点ではFortiCloud SSOの悪用のみが観測されているが、この問題はすべてのSAML SSO実装に当てはまる」とWindsorは述べた。
FortinetのSSOサービスはデフォルトでは有効になっていないが、システム管理者が同社のカスタマーサポートサービスにデバイスを登録する場合、SSOを有効にしないためにはサービスからオプトアウトする必要がある。
CVE-2026-24858に対する攻撃を緩和するため、Fortinetのクラウド側の緩和策は有効だが、Rapid7によれば、最新のパッチ適用済みファームウェアを実行しているデバイス以外からのFortinet SSOへのアクセスを遮断するため、「FortiCloud SSOログインプロトコルに破壊的変更を導入する」ことにもなる。その結果、この機能を継続して利用したい組織は、保有するFortinetデバイスをすべて更新しなければならない。
Fortinetは、すべてのデバイス設定を侵害されたものとして扱い、LDAPおよびActive Directoryアカウントを含め、デバイスに接続するすべての認証情報をローテーションし、侵入の兆候がないかログを監査することを推奨している。
同社によれば、侵害の指標には、攻撃者がユーザーアカウント[email protected]および[email protected]でログインすることが含まれるが、これらは変更される可能性がある。同社はまた、このキャンペーンで攻撃者が使用したIPアドレスも詳述しつつ、攻撃の隠蔽のためにCloudflareで保護されたドメインを使い始めていると指摘した。
これらの侵入に関連するさらなる戦術・技術・手順(TTP): Fortinetによれば、デバイスにログインした後、多くの場合、攻撃者は次にローカル管理者アカウントを作成する。これは「SSOアカウントが無効化された場合でも永続化するためと推定される」。これらのアカウント名は変更される可能性があるが、audit、backup、itadmin、secadmin、supportが含まれている。こうした種類の攻撃により適切に防御するため、セキュリティ専門家は、国家支援型およびサイバー犯罪ハッカーによって繰り返し標的にされていることを踏まえ、ファイアウォールやVPNゲートウェイを含むすべてのエッジデバイスへの管理者アクセスを制限することを推奨している(参照: ロシアのGRU、重要インフラのクラウド侵害に関与)。
この助言は、あらゆるエッジネットワークベンダーの機器に当てはまる。「ネットワークアプライアンスのベンダーに関係なく、すべてのファイアウォール設定におけるセキュリティのベストプラクティスとして、ファイアウォール管理インターフェースへのアクセスを信頼できる内部ネットワークに制限することを検討してほしい」とArctic Wolfは述べた。
翻訳元: https://www.databreachtoday.com/fortinet-locks-down-forticloud-sso-amid-zero-day-attacks-a-30612
