- SentinelOneが2026年初頭に悪用されたFortiGate NGFWの欠陥を報告
- 3つの重大バグ(CVE-2025-59718、-59719、-2026-24858)が管理者アクセスと永続化を可能に
- Fortinetはパッチを発行。企業は認証情報のローテーション、強力な制御の実装、横展開の監視を促される
年初、サイバー犯罪者たちはFortiGate次世代ファイアウォール(NGFW)の3つの脆弱性を悪用して、永続化とネットワーク全体への横展開を実現していました。記録されたすべての攻撃は、実害が生じる前に阻止されており、FortiGateはその後リスクを軽減するためのパッチを発行しました。
2025年12月から2026年2月にかけて、セキュリティ研究機関SentinelOneは3つの異なる脆弱性を悪用した複数の攻撃を観察しました。最初の2つはCVE-2025-59718およびCVE-2025-59719(深刻度スコア9.8/10)として追跡されており、どちらも暗号署名の不適切な検証に起因しています。これらは認証されていない攻撃者が細工されたSAMLトークンを送信して、有効な認証情報なしにFortiGateデバイスの管理者アクセスを取得することを可能にします。
3番目はCVE-2026-24858として追跡されており、同じく深刻度スコアが9.8/10(重大)です。2026年初頭にゼロデイとして悪用され、攻撃者が完全に異なるアカウントを使用してFortiGateデバイスにログインすることを可能にしました。
記事はこの下に続きます
ニュースへの対応
CVE-2025-59718は2026年1月末にCISAの既知悪用脆弱性(KEV)カタログに追加されました。
報告に対応して、Fortinetは最初にFortiCloud SSOを停止し、その後ファームウェアパッチをリリースしました。SentinelOneは、パッチを適用することに加えて、企業はインフラストラクチャを保護するための多くのステップを実行すべきだと付け加えました。これには、FortiGateアプライアンスに関連するすべてのLDAPおよびAD認証情報のローテーション(特に侵害されたと疑う場合)、強力な管理者アクセス制御の実装、ネットワークエッジデバイスの弱くてデフォルトの認証情報の交換、および未承認のローカル管理者アカウント作成の監視が含まれます。
最後に、企業はmS-DS-MachineAccountQuota設定を監査して、未承認のワークステーションがドメインに参加することを制限し、NGFWに隣接するサーバーからのEDRテレメトリーが積極的に監視されていることを確認する必要があります。
Fortinetはビジネスネットワーク機器のかなり人気のあるメーカーであり、そのためサイバー犯罪者によってしばしばターゲットにされています。通常、ファイアウォールは防衛の最前線の一つであるため、組織は注意深くパッチを適用することをお勧めします。
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式でのアンボックス映像を見ることができますし、WhatsAppでも定期的に最新情報を受け取ることができます。
