Fortinet SSO Vulnerability Actively Exploited to Hack Firewalls and Gain Admin Access
2026/01/22 CyberSecurityNews — Fortinet FortiGate ファイアウォールの Single Sign-On (SSO) 機能に存在する深刻な脆弱性 CVE-2025-59718 が、積極的に悪用されている。この脆弱性を悪用する攻撃者は、不正なローカル管理者アカウントを作成することで、インターネットに公開されているデバイスに対する完全な管理者アクセスを取得している。複数のユーザーから同一の攻撃パターンが報告されているため、Fortinet の PSIRT フォレンジック・チームが調査を開始した。
脆弱性 CVE-2025-59718 は、FortiOS における FortiCloud SSO ログイン・メカニズムに影響を及ぼす。この欠陥を悪用するリモート攻撃者は、悪意の SSO ログインを通じて認証を完了させ、標準的な制御をバイパスできる。この欠陥は、現時点の最新バージョンでも解消されておらず、SAML/FortiCloud SSO を管理者認証に用いるファイアウォールで権限昇格が可能になる。
現時点で CVSS スコアは未公表であるが、実環境への影響は深刻であり、“helpdesk” のようなフル・システム権限を持つバックドア・アカウントを、攻撃者たちは作成している。悪用が成立する条件として、デバイスがインターネットに公開され、かつ、SSO が有効化されている必要がある。
実環境での悪用インシデント
Reddit ユーザー u/csodes たちは、FortiGate 7.4.9 (FGT60F モデル等) におけるインシデントを詳細に報告している。同一 IP アドレスからの悪意の SSO ログインにより、ローカル管理者アカウントが作成されることが、SIEM アラートにより検知されている。被害を被った組織が指摘するのは、2025年12月下旬以降にセットアップされた環境が侵害されており、旧バージョンの未修正に起因するものではないという点だ。
ある組織は、「Local-In ポリシー・スクリプトの適用に失敗し、デバイスがインターネットから到達可能な状態であった」と述べている。別の SAML 利用組織では、”helpdesk” アカウントの存在が確認されている。サポート・チケットは既に起票されており、Fortinet の開発チームは問題が継続していることを確認している。フォレンジック対応は、PSIRT の Carl Windsor が主導している。
これらの組織的かつ協調的な攻撃は、未パッチの FortiGate を標的とした脅威アクターによるキャンペーンを示唆している。Fortinet は、この問題が FortiOS 7.4.10 においても解消されていないことを認めており、修正は今後のリリースで提供される予定である。
| FortiOS Version | Vulnerability Status | Fix Availability |
|---|---|---|
| 7.4.9 | Vulnerable (exploited) | 7.4.11 (scheduled) |
| 7.4.10 | Vulnerable (not fixed) | 7.4.11 (scheduled) |
| 7.6.x | Vulnerable | 7.6.6 (scheduled) |
| 8.0.x | Vulnerable (pre-release) | 8.0.0 (scheduled) |
2025年12月中旬に Shadowserver が公表したのは、25,000 台を超える Fortinet デバイスが、インターネットから到達可能な状態でオンラインに公開されていることである。特に注目すべき点として、その多くで FortiCloud Single Sign-On (SSO) 機能が有効化されていた。旧バージョンについても影響を受ける可能性があるため、Fortinet のアドバイザリを確認する必要がある。
回避策
CLI を使用して FortiCloud SSO ログインを無効化することで、悪用を遮断できる。
textconfig system global
set admin-forticloud-sso-login disable
end
この設定により、ローカル認証や SAML 認証を妨げることなく SSO ベースの攻撃を防止でき、修正パッチの適用後における再有効化も可能である。特にインターネットに公開されているファイアウォールに対して、Fortinet が強く推奨するのは、速やかなアップデートである。それに加えて、以下の対策が推奨される。
- ログ監査:不審な SSO ログインや新規管理者アカウント (例:“helpdesk”) を確認する。
- ネットワーク・セグメンテーション:管理者アクセスを制限し、Local-In ポリシーを強制する。
- モニタリング:管理者の変更履歴を SIEM と連携させ、不審なログイン元 IP などの IOC をスキャンする。
- パッチ適用:修正済みバージョンがリリースされ次第、ステージング環境で検証した上でアップグレードする。
- エンタープライズ対応:侵害が確認された場合には認証情報をローテーションし、デバイスを隔離した上で Fortinet サポートに連絡する。
Fortinet は、近日中に公式アドバイザリを公開するとしている。このインシデントは、ファイアウォールにおける SSO 利用のリスク/不必要な機能の無効化/積極的な監視の重要性を改めて示している。今後、CVSS スコアおよび完全な IOC の公開が注視される。
IoCs
| IOC | Type |
| cloud-init@mail[.]io | Malicious account observed logging into firewall devices, downloading/exfiltrating a firewall config file |
| cloud-noc@mail[.]io | Malicious account observed logging into firewall devices, downloading/exfiltrating a firewall config file |
| 104.28.244[.]115 | Source IP observed in intrusions |
| 104.28.212[.]114 | Source IP observed in intrusions |
| 217.119.139[.]50 | Source IP observed in intrusions |
| 37.1.209[.]19 | Source IP observed in intrusions |
| secadmin | Account created following initial access |
| itadmin | Account created following initial access |
| support | Account created following initial access |
| backup | Account created following initial access |
| remoteadmin | Account created following initial access |
| audit | Account created following initial access |
Source: Arctic Wolf
Fortinet のファイアウォール FortiGate SSO 機能で発見された、きわめて深刻な脆弱性 CVE-2025-59718 が、現在進行形で悪用されています。この問題の原因は、FortiOS における FortiCloud SSO のログイン処理の不備にあり、インターネットに公開されたデバイスに対するリモート認証のバイパスにより、管理者権限が奪取される恐れがあります。
実際の被害報告によると、この隙を突く攻撃者は、”helpdesk” や “itadmin” といった名前の不正なローカル管理者アカウントを作成し、コンフィグ・ファイルの窃取や完全な管理者アクセスを可能にしています。特に恐ろしいのは、2026年1月時点の最新バージョンである、FortiOS 7.4.10/7.6.x においても、この問題が解消されていない点です。したがって、多くのユーザーがパッチの公開を待っている状態にあります。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-59718 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.