概要

Fortinetが複数の製品における重大な脆弱性を開示してから1週間も経たないうちに、FortiGateデバイスを標的とした悪意のあるSSOログイン攻撃が確認されました。この脅威活動は、サイバーセキュリティの専門家によって警戒されています。

脆弱性の詳細

Arctic Wolfが月曜日に公開したブログによると、この脅威活動は金曜日に初めて確認され、FortinetのFortiGateアプライアンスが悪意のあるシングルサインオン（SSO）ログインを用いて標的にされています。

この攻撃は、Fortinetが公表した二つの重要な認証バイパス脆弱性（CVE-2025-59718およびCVE-2025-59719）に関連しています。これらの脆弱性は、FortiCloud SSO認証がデバイスで有効になっている場合、攻撃者が細工されたSAMLメッセージを使用して認証をバイパスすることを可能にします。

攻撃の状況と影響

Arctic Wolfは、自社のマネージド検知・対応サービスを通じて保護しているネットワーク上で、この悪意のあるログインを最初に検知しました。同社は12月10日の時点で顧客に脆弱性について警告しており、悪意のあるログインが検知されて以来、数十件の侵入を観測していると報告しています。

現在のところ、攻撃の背後にいるのは不明であり、調査が継続されています。研究者らは、これらの侵入は特定の企業を狙ったものではなく、日和見主義的な性質を持っていると指摘しています。Defusedも脅威活動を検知しており、週末に同社のFortinetハニーポットを悪用する7つの異なるIPアドレスを特定しました。

推奨される対策

Fortinetによると、FortiCloud SSO機能は工場出荷時のデフォルト設定では無効ですが、管理者がGUIからデバイスを登録する際に、「Allow administrative login using FortiCloud SSO」というトグルスイッチを無効にしない限り、この設定は有効になります。

Fortinetは、脆弱なバージョンのユーザーに対し、アップグレードが適用されるまでFortiCloudログイン機能を一時的に無効にするよう推奨しています。また、米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、この脆弱性を「既知の悪用されている脆弱性（Known Exploited Vulnerabilities）」カタログに追加しました。

Arctic Wolfは、悪意のある活動を検出したユーザーに対し、ファイアウォールの認証情報をリセットし、ファイアウォール管理インターフェースへのアクセスを信頼できる内部ネットワークに制限するよう助言しています。

元記事: https://www.cybersecuritydive.com/news/fortigate-devices-targeted-with-malicious-sso-logins/808132/