はじめに

Fortinet社のFortiGateアプライアンスに存在する2つの重大な認証バイパスの脆弱性が、現在、実際の環境で活発に悪用されていることが判明しました。Fortinetは2025年12月9日にCVE-2025-59718およびCVE-2025-59719としてこの脆弱性に関するアドバイザリを公開しており、これらはFortiCloud SSO認証メカニズムの深刻な欠陥を示しています。

脆弱性の詳細

これらの脆弱性は、FortiCloud SSOが有効になっている影響を受けるアプライアンスにおいて、認証されていない攻撃者が巧妙に作成されたSAMLメッセージを介してSSOログイン保護をバイパスすることを可能にします。CVSSスコアは両方とも9.8で「Critical（緊急）」と評価されており、深刻な脅威であることを示しています。以下の表に詳細を示します。

• CVE ID: CVE-2025-59718
  • CVSSスコア: 9.8
  • 重大度: Critical
  • 攻撃ベクトル: ネットワーク/認証不要
  • 認証の必要性: なし
• CVE ID: CVE-2025-59719
  • CVSSスコア: 9.8
  • 重大度: Critical
  • 攻撃ベクトル: ネットワーク/認証不要
  • 認証の必要性: なし

影響を受ける製品とバージョン

複数のFortinet製品がこの脆弱性の影響を受けます。初期設定ではFortiCloud SSOは無効ですが、GUIを介してFortiCareにデバイスを登録する際に明示的に無効にしない限り、自動的に有効になります。

• FortiOS
  • 脆弱なバージョン: 7.6.0–7.6.3, 7.4.0–7.4.8, 7.2.0–7.2.11, 7.0.0–7.0.17
  • パッチ適用済みバージョン: 7.6.4+, 7.4.9+, 7.2.12+, 7.0.18+
• FortiProxy
  • 脆弱なバージョン: 7.6.0–7.6.3, 7.4.0–7.4.10
  • パッチ適用済みバージョン: 7.6.4+, 7.4.11+
• FortiWeb
  • 脆弱なバージョン: 8.0.0
  • パッチ適用済みバージョン: 8.0.1+

なお、FortiOS 6.4、FortiWeb 7.0、FortiWeb 7.2はこれらの脆弱性の影響を受けません。

攻撃の状況

2025年12月12日以降、Arctic Wolfは、FortiGateデバイスに対する悪意のあるシングルサインオン（SSO）ログインを悪用した組織的な侵入を世界中で確認しています。攻撃者は、主に管理者アカウントを標的とし、7つの特定されたIPアドレスから悪意のあるSSOログインを実行しています。認証に成功した後、攻撃者はGUIインターフェースを通じてデバイス設定を体系的にエクスポートしており、資格情報のハッシュやネットワークアーキテクチャの詳細を狙っていると見られています。

推奨される対策

組織は、以下の3つの重要な対策を直ちに実施する必要があります。

• 1. 製品のアップグレード: 影響を受けるすべてのFortinet製品を直ちにパッチが適用されたバージョンにアップグレードしてください。
• 2. 資格情報のリセット: 脆弱性の悪用が疑われる場合、攻撃者がエクスポートされた設定からハッシュ化された資格情報を取得している可能性があるため、すべてのファイアウォール管理者資格情報をリセットしてください。
• 3. 管理インターフェースのアクセス制限: 管理インターフェースへのアクセスを信頼できる内部ネットワークのみに制限し、インターネットに面した悪用への露出を排除してください。

一時的な緩和策として、パッチ適用が完了するまで、システム設定またはCLIコマンドを通じてFortiCloud SSO機能を無効にすることを推奨します。また、未知のIPアドレスからの疑わしい管理者ログインを監視し、GUIインターフェースを介した設定エクスポートに対してアラートを設定することが重要です。

まとめ

認証不要での悪用、管理者アカウントの自動的な標的化、そして設定への直接アクセスという攻撃手法の組み合わせは、今回のキャンペーンを極めて危険なものにしています。ネットワークの侵害を防ぐためには、直ちに行動を起こすことが不可欠です。

---

元記事: https://gbhackers.com/critical-fortigate-sso-vulnerability/