Fortinet FortiGateデバイスへの攻撃概要
サイバーセキュリティ企業Arctic Wolfによると、FortinetのFortiGateデバイスが自動化された攻撃の標的となっており、不正なアカウントが作成され、ファイアウォール設定データが窃取されていることが明らかになりました。このキャンペーンは1月15日に開始され、攻撃者はデバイスのシングルサインオン(SSO)機能における未知の脆弱性を悪用し、VPNアクセスを持つアカウントをわずか数秒で作成し、ファイアウォール設定をエクスポートしているとのことです。
攻撃の詳細と過去の関連性
Arctic Wolfが報告したこれらの事件は、昨年12月に開示された重大な認証バイパス脆弱性(CVE-2025-59718)に関するインシデントと非常によく似ています。この脆弱性は、FortiCloud SSO機能が有効な場合、認証されていない攻撃者が悪意のあるSAMLメッセージを介して脆弱なFortiGateファイアウォールのSSO認証をバイパスすることを可能にするものです。
Arctic Wolfは、現在の脅威活動がCVE-2025-59718およびCVE-2025-59719を対象とした既存のパッチによって完全にカバーされているかは不明であると述べています。攻撃者の侵入経路の詳細はまだ完全に確認されていませんが、今回のキャンペーンは、Arctic Wolfが2025年12月に文書化したキャンペーンと類似していると指摘されています。
また、被害を受けた管理者からは、IPアドレス 104.28.244.114 の cloud-init@mail.io からのSSOログイン後に管理者ユーザーが作成されたというログが共有されており、これはArctic Wolfが進行中のFortiGate攻撃で検出した侵害の痕跡と一致しています。
既存パッチの不完全性とFortinetの対応
Fortinetの顧客からの報告によると、パッチ適用済みのファイアウォールもハッキングされている可能性があり、CVE-2025-59718脆弱性のパッチバイパスが悪用されていると考えられています。Fortinetは、最新のFortiOSバージョン(7.4.10)でもこの認証バイパスの脆弱性が完全には対処されていないことを確認したと伝えられています。この脆弱性は、FortiOS 7.4.9のリリースにより12月上旬にパッチが適用されるはずでした。
Fortinetは、CVE-2025-59718セキュリティ脆弱性に完全に対処するため、今後数日のうちにFortiOS 7.4.11、7.6.6、および8.0.0をリリースする予定であるとされています。
推奨される一時的な対策
Fortinetがこれらの攻撃に対するFortiOSの完全なパッチをリリースするまで、管理者は脆弱なFortiCloudログイン機能を一時的に無効にすることでファイアウォールを保護できます。以下の手順で設定を変更してください。
- GUIから設定する場合:「System」->「Settings」に移動し、「Allow administrative login using FortiCloud SSO」を「Off」に切り替えます。
- コマンドラインインターフェース(CLI)から設定する場合:
config system global
set admin-forticloud-sso-login disable
end広範な影響と緊急の呼びかけ
インターネットセキュリティ監視団体Shadowserverは、約11,000台のFortinetデバイスがオンラインで公開されており、FortiCloud SSOが有効になっていることを追跡しています。米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、12月16日にCVE-2025-59718を悪用された脆弱性のカタログに追加し、連邦機関に対し1週間以内にパッチを適用するよう命じています。
BleepingComputerは、これらのFortiGate攻撃についてFortinetに複数回問い合わせましたが、同社からの回答はまだありません。