Fortinetが新たなSSOバイパス攻撃の活動を認める

セキュリティベンダーのFortinetは、FortiCloud SSO認証バイパスの脆弱性に関する新たな悪用活動が報告されたことを受け、その対応に追われています。同社は、完全にパッチが適用されたファイアウォール上で、この攻撃が成功していることを正式に確認しました。Fortinetの最高情報セキュリティ責任者（CISO）であるカール・ウィンザー氏は、過去24時間以内に、攻撃時に最新リリースに完全にアップグレードされていたデバイスでこのエクスプロイトが発生したケースが多数特定され、「新たな攻撃経路」が示唆されたと述べました。

脆弱性の背景と攻撃の詳細

この攻撃は、先月FortinetがCVE-2025-59718およびCVE-2025-59719に対処するために適用したパッチをバイパスするものです。これらの脆弱性は、FortiCloud SSO機能が影響を受けるデバイスで有効になっている場合、細工されたSAMLメッセージを介してSSOログイン認証の未認証バイパスを可能にする可能性がありました。

今週初めには、これらの二重の脆弱性に対してパッチが適用されたデバイスの管理者アカウントに対して、悪意のあるSSOログインが記録されたという新たな活動の報告が浮上しました。この活動は、昨年12月にCVE-2025-59718およびCVE-2025-59719の開示直後に観測されたインシデントと類似しています。脅威アクターは、以下の行動をとっていることが確認されています。

• 永続性のために「cloud-noc@mail.io」や「cloud-init@mail.io」といった一般的なアカウントを作成。
• それらのアカウントにVPNアクセスを許可する設定変更を実施。
• ファイアウォールの設定を異なるIPアドレスに持ち出し（exfiltration）。

Fortinetが推奨する対策

Fortinetは、以下の緊急対策を講じるよう強く推奨しています。

• ローカルインポリシーを適用し、インターネット経由でのエッジネットワークデバイスへの管理アクセスを制限する。
• 「admin-forticloud-sso-login」を無効にすることで、FortiCloud SSOログインを無効化する。

Fortinetは、「現時点ではFortiCloud SSOの悪用のみが観測されているものの、この問題はすべてのSAML SSO実装に適用されることに注意することが重要です」と警告しています。

元記事: https://thehackernews.com/2026/01/fortinet-confirms-active-forticloud-sso.html