概要
ハッカーが、複数のFortinet製品に影響を与える重大な認証バイパスの脆弱性(CVE-2025-59718およびCVE-2025-59719)を悪用しています。これらの脆弱性は、管理者アカウントへの不正なアクセスやシステム設定ファイルの窃取を可能にするものです。
Fortinetは12月9日のアドバイザリで、これらの脆弱性が悪用される可能性について警告していました。これらの問題は、FortiCloud SSOが有効な場合にのみ悪用されますが、この機能はデフォルト設定ではありません。しかし、デバイスがFortiCareユーザーインターフェースを通じて登録されると、明示的に無効にされない限り自動的に有効になります。
脆弱性の詳細
発見された2つの脆弱性は、いずれもFortiCloud SSOの認証バイパスに関連しています。
- CVE-2025-59718: FortiOS、FortiProxy、FortiSwitchManagerに影響を与えます。SAMLメッセージにおける暗号署名検証の不備に起因し、攻撃者が悪意を持って作成したSAMLアサーションを送信することで、正当な認証なしにログインが可能になります。
- CVE-2025-59719: FortiWebに影響を与えます。これもSAMLメッセージの暗号署名検証の同様の問題から発生し、偽造されたSSOを介して認証されていない管理者アクセスを可能にします。
これらの脆弱性は、FortiCloud SSOが有効になっている環境でのみ悪用される点に注意が必要です。
攻撃の手口と影響
サイバーセキュリティ企業Arctic Wolfの研究者らは、12月12日からこれらのセキュリティ脆弱性を悪用した攻撃を確認しました。攻撃は、The Constant Company、BL Networks、Kaopu Cloud HKに関連する複数のIPアドレスから発信されています。
Arctic Wolfの観測によると、攻撃者は悪意のあるシングルサインオン(SSO)ログインを用いて管理者アカウントを標的にしています。管理レベルのアクセス権を得た後、ハッカーはウェブ管理インターフェースにアクセスし、システムの設定ファイルをダウンロードするといった行動を実行していました。
設定ファイルには、ネットワークのレイアウト、インターネットに公開されているサービス、ファイアウォールポリシー、潜在的に脆弱なインターフェース、ルーティングテーブル、さらには解読される可能性のあるハッシュ化されたパスワードなど、機密性の高い情報が含まれている場合があります。これらのファイルの窃取は、攻撃活動が将来の攻撃を支援する悪意のある操作の一環であることを強く示唆しています。
推奨される対策
Fortinetは、現在脆弱なバージョンを使用している管理者に対し、より安全なバージョンへのアップグレードが可能になるまで、FortiCloudログイン機能を一時的に無効にすることを推奨しています。これは、「System → Settings」から「“Allow administrative login using FortiCloud SSO” = Off」に設定することで実行できます。
システム管理者には、以下のパッチ適用済みバージョンへの移行が強く推奨されます。
- FortiOS: 7.6.4+、7.4.9+、7.2.12+、および7.0.18+
- FortiProxy: 7.6.4+、7.4.11+、7.2.15+、7.0.22+
- FortiSwitchManager: 7.2.7+、7.0.6+
- FortiWeb: 8.0.1+、7.6.5+、7.4.10+
侵害の兆候が発見された場合は、ファイアウォールの認証情報をできるだけ早く変更することが推奨されます。また、Arctic Wolfは、ファイアウォール/VPNの管理アクセスを信頼できる内部ネットワークのみに制限することも推奨しています。