はじめに – CISAがFortinetの脆弱性を警告

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、積極的に悪用されているFortinetの脆弱性「CVE-2025-59718」を、既知の悪用されている脆弱性（KEV）カタログに公式に追加しました。これは、FortiCloudシングルサインオン（SSO）認証を利用している組織にとって深刻な脅威をもたらします。

脆弱性の詳細 – 暗号署名検証の不備

CVE-2025-59718は、Fortinet FortiOS、FortiSwitchMaster、FortiProxy、およびFortiWebに影響を及ぼす「暗号署名検証の不適切な不備」を表します。このセキュリティ上の欠陥により、認証されていない攻撃者が悪意のあるSAMLメッセージを作成することで、FortiCloud SSOログイン認証をバイパスできます。この攻撃手法は、事前の認証や特別な権限を必要としないため、最小限の技術的障壁で脅威アクターがアクセスできるという点で特に危険です。

この脆弱性は、SAML認証プロセスにおける不十分な暗号署名検証に起因しており、CWE-347に分類されています。関連する欠陥であるCVE-2025-59719も同じ根本的な問題を扱っており、Fortinetのアドバイザリに記載されており、組織はすべての推奨パッチを適用する必要があります。

CISAによる対応と期限

CISAは2025年12月16日にこの脆弱性をKEVカタログに追加し、2025年12月23日という7日間の修正期限を設けました。この迅速な対応は、実際の環境でこの欠陥が活発に悪用されていることを反映しています。影響を受けるFortinet製品を使用している組織は、これを極めて重要な優先事項として扱う必要があります。

リスクと組織への影響

現在の情報では、この脆弱性がランサムウェアキャンペーンで使用されていることは確認されていませんが、積極的な悪用と認証バイパス能力が相まって、かなりのリスクを生み出しています。攻撃者は、基幹インフラやネットワークへの不正アクセスを獲得し、その後の侵入の足がかりを築く可能性があります。

推奨される対策

CISAのガイダンスは、ベンダーの指示に従って即座に修正措置を講じることを強調しています。組織は、Fortinetのセキュリティアドバイザリに記載されているCVE-2025-59718およびCVE-2025-59719のすべてのパッチを適用することを優先すべきです。パッチをすぐに展開できないシステムについては、管理者は利用可能な緩和策を実装するか、特にクラウドサービスの場合、BOD 22-01のコンプライアンス要件に従って製品の使用を中止することを検討する必要があります。

セキュリティチームは、Fortinet製品のインベントリを確認し、パッチ適用を優先し、悪用が試みられている可能性を示す不審なSAML認証試行がないか監視する必要があります。

元記事: https://gbhackers.com/cisa-adds-actively-exploited-fortinet-signature-verification-flaw/