最近のFortinet Single Sign-On脆弱性の理解:CVE-2025-59718
ネットワークセキュリティは常に進化する分野であり、安全と想定されているシステムにおいても脆弱性が発生する可能性があります。最近、世界中の管理者がFortinetのSingle Sign-On(SSO)機能における重大な脆弱性、CVE-2025-59718に関する報告に警戒を強めています。
脆弱性の概要
2025年12月に公開されたCVE-2025-59718は、認証されていない攻撃者がSecurity Assertion Markup Language(SAML)アサーションを操作することでFortiGateファイアウォールの認証をバイパスできるという深刻なリスクをもたらします。Fortinetはこの問題の解決策としてFortiOSバージョン7.4.9をリリースしました。しかし、このアップデートは完全に有効ではなかった可能性があり、攻撃者が以前は安全だったシステムを悪用できる状態になっています。
「ゾンビ」脆弱性の再発
コミュニティフォーラム、特にRedditからの新たな報告の波が発生してからわずか48時間以内に、FortiOS 7.4.9を実行しているデバイスが侵害に成功していることが明らかになりました。検証された管理者は、FortiCloud SSOに起因する不正ログインを示すログ証拠を共有しています。
被害者の報告によると、SSO機能を直接使用していない場合でも攻撃者はアクセスを取得できたとのことです。ログインに成功すると、これらの悪意のある行為者は通常、「helpdesk」または同様の一般的な名前でローカル管理者アカウントを作成し、SSOの欠陥に関係なく永続性を確保します。
技術的な混乱と憶測
この問題の継続により、パッチの信頼性について広範な憶測が生じています。一部のユーザーは、Fortinetサポートが非公式に、FortiOSバージョン7.4.10のリリースが予定されていても脆弱性がまだ存在する可能性があると示唆したと主張していますが、公式確認は公表されていません。
悪用メカニズム
この悪用は、「FortiCloud SSOを使用した管理ログインを許可する」設定を利用しており、この設定はFortiGateデバイスがFortiCloudに登録されると頻繁にデフォルトで有効化されます。これにより、ネットワーク管理者がこの脆弱性に慎重に対処することが不可欠となります。
推奨される緩和策
現在の脅威状況を考慮すると、セキュリティ専門家はSSO機能に関して「パッチを信用しない」姿勢を採用することを推奨しています。現在、専門家が同意する唯一の信頼できる回避策は、使用しているファームウェアバージョンに関係なく、コマンドラインインターフェース(CLI)を介して脆弱な機能を直接無効化することです。
管理者は、すべてのFortiGateユニットで次のコマンドを実行する必要があります:
bash
config system global
set admin-forticloud-sso-login disable
end
侵害の痕跡(IOC)
表面上は安全とされるバージョン7.4.9を含むFortiOS 7.4.xを使用している組織は、システムイベントログの即座の監査を実施することを推奨します。以下の活動に焦点を当てる必要があります:
-
予期しないSSOログイン:
forticloud-ssoメソッドで識別された成功したログイン、特に見慣れないパブリックIPアドレスからのログインを探してください。 -
新しいユーザーの作成:
helpdesk、support、fortinet-adminなどの名前を持つ管理者アカウントの最近の作成を確認してください。 -
設定のエクスポート:
そのようなSSOログインが発生した直後にシステム設定の完全なダウンロードを示すログ記録を監視してください。
公式パッチサイクルへの信頼が薄れている状況において、サイバーセキュリティコミュニティは、ベンダーが正式な勧告を発行するよりも迅速に侵害の痕跡(IOC)と潜在的な回避策を広める責任を自ら引き受けています。現在の状況を考慮すると、SSO機能の無効化はFortiGateデバイスユーザーにとって不可欠な予防措置として際立っています。
