はじめに
Fortinetは、以前の修正にもかかわらず、重要なFortiCloudシングルサインオン(SSO)認証バイパス脆弱性(CVE-2025-59718)がまだ完全にパッチされていないことを認めました。これにより、パッチ適用済みのファイアウォールも侵害される事態が発生しています。
攻撃の経緯と詳細
管理者から、完全にパッチが適用されたはずのファイアウォールがハッキングされているとの報告が相次いだことを受け、Fortinetはこの状況への対応を進めています。
- サイバーセキュリティ企業Arctic Wolfは、1月15日から始まった攻撃キャンペーンで、攻撃者がVPNアクセスを持つアカウントを作成し、わずか数秒でファイアウォールの設定を盗み出していたと報告しました。これは自動化された攻撃であるとみられています。
- これらの攻撃は、昨年12月に公表されたCVE-2025-59718の初期の悪用と非常に似ており、パッチバイパスが利用されている可能性が指摘されています。
- Fortinetはこれらの報告を認め、現在進行中のCVE-2025-59718への攻撃が12月の悪質な活動と一致しており、脆弱性を完全に修正するための作業を進めていると発表しました。
影響を受けたFortinet顧客が共有したログによると、攻撃者はIPアドレス104.28.244.114のcloud-init@mail.ioからのSSOログイン後に管理者ユーザーを作成していました。これは、Arctic Wolfが進行中のFortiGate攻撃で検出した侵害の痕跡と一致しています。
Fortinetの最高情報セキュリティ責任者(CISO)であるカール・ウィンザー氏は、「最近、ごく一部のお客様から、以前の問題と非常によく似た予期せぬログイン活動がデバイスで発生しているとの報告がありました。しかし、過去24時間で、攻撃時に最新リリースに完全にアップグレードされていたデバイスが侵害されたケースが多数特定され、新しい攻撃経路の存在が示唆されました」と述べました。さらに、この問題はFortiCloud SSOだけでなく、すべてのSAML SSO実装に適用されると警告しています。
Fortinetからの推奨される対策
FortinetがCVE-2025-59718の脆弱性に完全に対処するまでの間、ウィンザー氏は顧客に対し、以下の対策を講じるよう助言しています。
- 管理アクセスの制限:エッジネットワークデバイスへのインターネット経由での管理アクセスを制限するため、管理インターフェースにアクセスできるIPアドレスを限定するローカルインポリシーを適用してください。
- FortiCloud SSO機能の無効化:FortinetデバイスのFortiCloud SSO機能を無効にしてください。手順は、「System」->「Settings」->「Switch」に進み、「Allow administrative login using FortiCloud SSO」オプションをオフに切り替えます。
また、デバイスで侵害の痕跡(IOCs)が検出された場合は、システムと設定が侵害されたものとして扱い、資格情報(LDAP/ADアカウントを含む)をローテーションし、既知のクリーンなバージョンで設定を復元することが推奨されています。
影響範囲と注意喚起
インターネットセキュリティ監視機関Shadowserverは、現在、FortiCloud SSOが有効になっている約11,000台のFortinetデバイスがオンラインに公開されていることを追跡しています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)も、12月16日にCVE-2025-59718を積極的に悪用されている脆弱性リストに追加し、連邦政府機関に対し1週間以内にパッチを適用するよう命じていました。