25,000+ FortiCloud SSO-Enabled Systems Vulnerable to Remote Exploitation
2025/12/19 gbhackers — Shadowserver Foundation が明らかにしたのは、認証バイパスの脆弱性 CVE-2025-59718/CVE-2025-59719 に関する懸念である。インターネットに接続される Fortinet デバイスにおいて、FortiCloud の Single Sign-On (SSO) 機能が有効化されていると、その危険性が高まると同社は指摘している。それらのデバイスは、世界中に 25,000 台以上が展開されているため、攻撃が拡大する恐れがある。Shadowserver はネットワーク管理者に対して、これらのシステムのデバイス識別用のレポート・サービスにフィンガープリンティング機能を追加し、セキュリティ体制を直ちに確認すべきだと警告している。
グローバル・スキャンで大規模な脆弱性を発見
Shadowserver の最新スキャン結果によると、世界中の少なくとも 25,000 件の IP アドレスが、FortiCloud SSO が有効化されている Fortinet デバイスをホストしているという。
この脆弱性が存在するシステムの、すべてが実際に悪用可能とは限らないが、この発見が示すのは、脅威アクターたちが広大な攻撃対象領域を得ている状況である。
Shadowserver からの、脆弱性通知を受け取った組織に対して強く推奨されるのは、パッチ適用状況の確認とセキュリティ・アップデートの迅速な実施である。
FortiOS/FortiWeb/FortiProxy/FortiSwitchManager 製品に影響を及ぼす、2つの深刻な認証バイパスの脆弱性 CVE-2025-59718/CVE-2025-59719 の存在を、このアラートは明確に示している。
これらの脆弱性の深刻度は、CVSS v3 スコアで 9.1 と評価されている。未認証のリモート攻撃者が、細工された SAML メッセージを介して FortiCloud SSO 認証をバイパスし、資格情報を必要とすることなく、管理者権限を取得する可能性がある。
インターネットに公開された FortiCloud SSO 実装が、企業ネットワーク・インフラへの不正アクセスの機会を生むと、セキュリティ研究者たちは強調している。
これらの脆弱性を悪用する攻撃者は、影響を受けるデバイスの完全な管理制御を取得し、ネットワーク侵害/データ窃取/追加マルウェアの展開などを引き起こす可能性がある。
Fortinet ユーザーにとって必要なことは、Shadowserver のレポート上における自組織のデバイスの掲載を直ちに確認し、パッチ適用状況を検証することである。
すでに Fortinet は、影響を受ける製品バージョンに対してセキュリティ更新をリリースしている。したがって、ユーザー組織は、パッチ適用済みバージョンへのアップグレードを優先すべきである。
なお、パッチ適用までの間に、管理者が実施できる一時的な緩和策は、システム設定または CLI コマンドを利用して、FortiCloud SSO 機能を無効化することだ。
Shadowserver Foundation は、世界中のネットワーク所有者に無料のセキュリティ・スキャン・レポートを提供している。それにより、攻撃者に発見される前に、脆弱なシステムやミスコンフィグのあるシステムを特定できる。
Shadowserver の通知機能に対して未登録の組織は、無防備なインフラに関するアラートをタイムリーに受信できないため、登録の検討が推奨される。
この問題の原因は、Fortinet 製品に搭載されているFortiCloud SSO 機能の、認証処理の不備にあります。その結果として、この脆弱性を悪用するリモート攻撃者が、あたかも正当な管理者であるかのようにシステムへ入り込み、デバイスを自由に操作できてしまう状態になっています。この機能がインターネットに公開されている場合には、特に危険性が高まります。ご利用のチームは、速やかなパッチの適用などをご検討ください。よろしければ、2025/12/17 の「CISA KEV 警告 25/12/17:Fortinet 製品群の脆弱性 CVE-2025-59718 を登録」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.