概要:Fortinet、重大な認証バイパス脆弱性を警告
Fortinetは、同社の複数の製品に存在する**2つの重大な脆弱性**に対処するため、セキュリティアップデートをリリースしました。これらの脆弱性は、FortiCloud SSO認証をバイパスすることを可能にし、攻撃者がシステムへの不正アクセスを行う可能性があります。
脆弱性の詳細と影響
今回修正された脆弱性は、以下のCVE番号で追跡されています。
- CVE-2025-59718: FortiOS, FortiProxy, FortiSwitchManagerに影響
- CVE-2025-59719: FortiWebに影響
これらの脆弱性は、**暗号化署名の検証における不適切な処理**を悪用するもので、悪意を持って作成されたSAMLメッセージを介して悪用される可能性があります。
Fortinetによると、FortiCloud SSOログイン機能は工場出荷時のデフォルト設定では有効になっていません。しかし、管理者がデバイスをFortiCareに登録する際に、登録ページの「Allow administrative login using FortiCloud SSO」トグルスイッチを無効にしない場合、FortiCloud SSOログインが有効になる点に注意が必要です。
管理者向け推奨対処法
システムをこれらの脆弱性から保護するため、管理者は非脆弱なバージョンへのアップグレードが完了するまで、**FortiCloudログイン機能を一時的に無効にすること**が推奨されます。無効化の手順は以下の通りです。
- GUIからの操作: 「System -> Settings」に移動し、「Allow administrative login using FortiCloud SSO」を「Off」に切り替えます。
- CLIからの操作: 以下のコマンドを実行します。
config system global set admin-forticloud-sso-login disable end
その他パッチ適用された脆弱性
Fortinetは今回、他にも以下の脆弱性にもパッチを適用しました。
- CVE-2025-59808: 未検証のパスワード変更脆弱性。攻撃者が被害者ユーザーアカウントへのアクセス権を得た場合、アカウントのパスワードを要求されることなく資格情報をリセットできる可能性があります。
- CVE-2025-64471: ハッシュを使用した認証が可能になる脆弱性。攻撃者がパスワードの代わりにハッシュを使用して認証できる可能性があります。
Fortinet製品の脆弱性と過去の悪用事例
Fortinet製品のセキュリティ脆弱性は、ランサムウェア攻撃やサイバー・スパイ活動において**ゼロデイ攻撃を含め頻繁に悪用されてきました**。例えば、2023年2月には中国のVolt Typhoonハッキンググループが、FortiOS SSL VPNの脆弱性を悪用し、オランダ国防省のネットワークにバックドアを仕掛けたことが報告されています。また、最近ではFortiSIEMやFortiWebのゼロデイ脆弱性も攻撃に利用されています。
これらの事例からも、Fortinet製品のセキュリティアップデートを迅速に適用することの重要性が改めて強調されます。