Critical FortiGate Devices SSO Vulnerabilities Actively Exploited in the Wild
2025/12/16 CyberSecurityNews — Fortinet が公開したのは、FortiGate アプライアンスおよび関連製品に存在する、深刻な認証バイパス脆弱性を狙った侵入活動が発生していることである。この脅威アクターは CVE-2025-59718/CVE-2025-59719 を悪用し、悪意の SAML メッセージを介して未認証の SSO (single sign-on) ログインを実行することで、攻撃者自身に対して管理者アクセスを許可している。2025年12月9日に Fortinet は、これらの脆弱性を PSIRT アドバイザリで公開している。その直後に Arctic Wolf は独自のセキュリティ情報を発表し、速やかなパッチ適用を促していた。
これらの脆弱性は、FortiCloud SSO が有効化されている複数の製品ライン FortiOS/FortiWeb/FortiProxy/FortiSwitchManager に影響する。
FortiCloud SSO ログインは、工場出荷時の設定では無効化されている。しかし、管理者が “Allow administrative login using FortiCloud SSO” オプションを明示的に無効化しない場合には、FortiCare GUI を介したデバイス登録時において自動的に有効化されてしまう。この見落としが多発することで、インターネット接続されたデバイスがリモート攻撃に晒される要因となる。
FortiCloud SSO が有効化されると、攻撃者は SAML アサーションを作成して認証を完全に回避できる。Arctic Wolf は、「The Constant Company LLC/Kaopu Cloud HK Limited などのプロバイダーに割り当てられた、限られた IP アドレスからの侵入を確認している。攻撃者は、主にデフォルトの admin アカウントを標的としている」と述べている。
| IOC | Hosting Provider |
|---|---|
| 45.32.153[.]218 | The Constant Company LLC |
| 167.179.76[.]111 | The Constant Company LLC |
| 199.247.7[.]82 | The Constant Company LLC |
| 45.61.136[.]7 | Bl Networks |
| 38.54.88[.]203 | Kaopu Cloud HK Limited |
| 38.54.95[.]226 | Kaopu Cloud HK Limited |
| 38.60.212[.]97 | Kaopu Cloud HK Limited |
侵害された FortiGate のサンプル・ログには、SSO ログイン成功が記録されている。
date=2025-12-12 time=REDACTED ... logid="0100032001" ... user="admin" ui="sso(199.247.7[.]82)" method="sso" srcip=199.247.7[.]82 ... action="login" status="success" ...
ログイン後に、同じ IP アドレスから GUI 経由でデバイス設定がエクスポートされている。次のログが証拠である。
date=2025-12-12 time=REDACTED ... logid="0100032095" ... action="download" ... msg="System config file has been downloaded by user admin via GUI(199.247.7[.]82)"
Arctic Wolf の Managed Detection and Response (MDR) プラットフォームは、これらのパターンを検知した後に、影響を受ける顧客へのアラート通知を継続している。
すでに Fortinet は、各バージョン向けの修正版をリリースしている。ただし、FortiOS 6.4/FortiWeb 7.0/FortiWeb 7.2 などは影響を受けないとしている。
| Product | Affected Versions | Fixed Version |
|---|---|---|
| FortiOS 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0 – 7.4.8 | 7.4.9+ |
| FortiOS 7.2 | 7.2.0 – 7.2.11 | 7.2.12+ |
| FortiOS 7.0 | 7.0.0 – 7.0.17 | 7.0.18+ |
| FortiProxy 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiProxy 7.4 | 7.4.0 – 7.4.10 | 7.4.11+ |
| FortiProxy 7.2 | 7.2.0 – 7.2.14 | 7.2.15+ |
| FortiProxy 7.0 | 7.0.0 – 7.0.21 | 7.0.22+ |
| FortiSwitchManager 7.2 | 7.2.0 – 7.2.6 | 7.2.7+ |
| FortiSwitchManager 7.0 | 7.0.0 – 7.0.5 | 7.0.6+ |
| FortiWeb 8.0 | 8.0.0 | 8.0.1+ |
| FortiWeb 7.6 | 7.6.0 – 7.6.4 | 7.6.5+ |
| FortiWeb 7.4 | 7.4.0 – 7.4.9 | 7.4.10+ |
管理者にとって必要なことは、悪意のログを確認した場合に、全ファイアウォール認証情報を直ちにリセットすることである。エクスポートされたコンフィグ・ファイル内のパスワードがハッシュ化されていても、ハッシュ化された認証情報に対するオフライン辞書攻撃が可能である。
さらに、管理インターフェイスへの接続は、信頼できる社内ネットワークにのみ制限すべきである。Arctic Wolf は、Fortinet などのアプライアンスを標的とする、継続的な悪意の活動を追跡しているが、その多くは、インターネット上に公開されたデバイスを探索する、各種のサービスなどを通じて標的化されている。
一時的な回避策として推奨されるのは、FortiCloud SSO の無効化である。System > Settings で “Allow administrative login using FortiCloud SSO” をオフにする。また、以下の CLI も利用できる。
textconfig system global
set admin-forticloud-sso-login disable
end
ファイアウォールを標的とする攻撃が増加しているため、ユーザー組織にとって必要なことは、それらの優先的なアップグレードとなる。Arctic Wolf は、継続的な検出能力を維持し、警戒を怠らないよう呼びかけている。
この問題の核心は、管理者向けのシングル・サインオン (SSO) 機能にあります。通常、この機能はオフになっていますが、デバイスを登録する際の仕様により、意図せずに自動的に有効になってしまいます。この設定の隙を突く攻撃者は、SAML 認証の仕組みを悪用し、正しい手順をバイパスして管理者としてログインできます。ご利用のチームは、ご注意ください。よろしければ、FortiGate での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.