概要：FortiCloud SSOシステムの深刻な脆弱性

セキュリティ研究機関であるShadowserver Foundationは、インターネットに接続された25,000以上のFortinetデバイスにおいて、FortiCloudシングルサインオン（SSO）機能が有効になっていることを確認しました。これらのシステムは、認証バイパスの重大な脆弱性に晒されている可能性があり、世界中の組織に緊急の対応が求められています。

Shadowserver Foundationによる警告と検出経緯

Shadowserver Foundationは、これらのシステムのフィンガープリント機能をデバイス識別報告サービスに追加し、ネットワーク管理者に直ちにセキュリティ態勢を確認するよう警告を発しました。同機関の最新のスキャン結果によると、世界中で少なくとも25,000のIPアドレスがFortiCloud SSOを有効にしたFortinetデバイスをホストしていることが明らかになっています。必ずしも全てのシステムが脆弱であるとは限りませんが、この発見は、脅威アクターが悪用する可能性のある広範な攻撃対象領域を浮き彫りにしています。

認証バイパス脆弱性CVE-2025-59718およびCVE-2025-59719

Shadowserverからの警告は、特にFortiOS、FortiWeb、FortiProxy、FortiSwitchManager製品に影響を与えるCVE-2025-59718およびCVE-2025-59719という2つの重要な認証バイパス脆弱性に言及しています。これらの脆弱性はCVSS v3スコアが9.1と評価されており、認証されていないリモートの攻撃者が、特別に細工されたSAMLメッセージを介してFortiCloud SSO認証をバイパスできることを示しています。これにより、資格情報なしで管理アクセスを取得する可能性があります。

セキュリティ研究者は、公開されたFortiCloud SSOの実装が、企業のネットワークインフラへの不正アクセス機会を生み出すと強調しています。これらの脆弱性を悪用する攻撃者は、影響を受けるデバイスに対して完全な管理制御を獲得し、結果としてネットワーク侵害、データ流出、または追加のマルウェア展開につながる可能性があります。

緊急の対策と推奨事項

Fortinetの顧客は、自身が管理するデバイスがShadowserverの報告に含まれていないか直ちに確認し、パッチの適用状況を確認することが強く推奨されます。ベンダーは既に影響を受ける製品バージョンのセキュリティアップデートをリリースしており、組織はパッチが適用されたリリースへのアップグレードを最優先事項とすべきです。

一時的な緩和策として、パッチが展開されるまでの間、管理者はシステム設定またはCLIコマンドを介してFortiCloud SSO機能を無効にすることができます。

Shadowserver Foundationは、世界中のネットワーク所有者に対して無償のセキュリティスキャンレポートを提供しており、攻撃者によって発見される前に脆弱なシステムや誤設定されたシステムを特定するのに役立っています。これらの通知に登録していない組織は、タイムリーなアラートを受け取るために登録を検討してください。

元記事: https://gbhackers.com/25000-forticloud-sso-enabled-systems-vulnerable/