FortiCloud SSOデバイス、大規模な脆弱性露出
インターネットセキュリティ監視機関であるShadowserverの調査により、25,000台以上のFortinetデバイスがFortiCloud SSOを有効にした状態でオンライン上に公開されており、現在進行中の認証バイパス脆弱性を悪用した攻撃に晒されていることが明らかになりました。この事態は、セキュリティ専門家や企業に緊急の対応を促しています。
脆弱性の詳細と活発な攻撃
問題となっているのは、FortiOS、FortiProxy、FortiSwitchManagerに影響するCVE-2025-59718と、FortiWebに影響するCVE-2025-59719の2つの認証バイパス脆弱性です。Fortinetは12月9日にこれらの脆弱性のパッチをリリースしましたが、FortiCloud SSOログイン機能は、デバイスがFortiCareサポートサービスに登録されるまで有効にならないと説明していました。
しかし、サイバーセキュリティ企業Arctic Wolfの報告によると、この脆弱性はすでに活発に悪用されています。攻撃者は、悪意を持って細工されたSAMLメッセージを介して管理アカウントを侵害し、ウェブ管理インターフェースへの管理者レベルのアクセス権を獲得し、システム設定ファイルをダウンロードしているとのことです。
これらのシステム設定ファイルには、潜在的に脆弱なインターフェース、攻撃者が解読する可能性のあるハッシュ化されたパスワード、インターネットに公開されているサービス、ネットワークレイアウト、ファイアウォールポリシーなど、機密情報が含まれています。
Shadowserverと専門家による警告
Shadowserverは現在、FortiCloud SSOのフィンガープリントを持つ25,000を超えるIPアドレスを追跡しており、そのうち5,400以上が米国、2,000近くがインドに集中しています。しかし、これらのデバイスのうち、CVE-2025-59718/CVE-2025-59719の脆弱性に対する対策がどの程度施されているかについては、現在のところ情報がありません。
マクニカの脅威リサーチャーである瀬島雄太氏もBleepingComputerに対し、自身のスキャンではFortiCloud SSOが有効なFortinetデバイスが30,000台以上検出され、これらも脆弱なウェブ管理インターフェースをインターネットに公開していると述べています。瀬島氏は、「FortiOSの管理GUIの脆弱性が過去に頻繁に悪用されてきたことを考えると、これほど多くの管理インターフェースが公開されたままであることは驚きです」とコメントしています。
CISAの緊急指令と過去の事例
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、このFortiCloud SSO認証バイパスの脆弱性を「積極的に悪用されている脆弱性」のカタログに追加し、米国の政府機関に対し、12月23日までにパッチを適用するよう指令を出しました。
Fortinetのセキュリティ脆弱性は、サイバー諜報グループ、サイバー犯罪グループ、またはランサムウェアグループによって、しばしばゼロデイ脆弱性として悪用されてきました。例えば、今年2月には、悪名高い中国のハッキンググループVolt Typhoonが2つのFortiOS SSL VPNの脆弱性(CVE-2023-27997およびCVE-2022-42475)を悪用し、オランダ国防省の軍事ネットワークにカスタムのCoathanger RATマルウェアをバックドアとして仕込んだことがFortinetによって明らかにされました。また、最近では11月に、FortinetはFortiWebのゼロデイ脆弱性(CVE-2025-58034)が現実世界で悪用されていると警告しており、その1週間前には、広範囲にわたる攻撃で悪用されていた別のFortiWebゼロデイ(CVE-2025-64446)を密かに修正していたことを確認しています。
管理者への呼びかけ
これらの情報から、Fortinet製品、特にFortiCloud SSOを有効にしている組織の管理者は、速やかにパッチを適用し、システムのセキュリティ状態を確認することが極めて重要です。早急な対応が、深刻なサイバー攻撃から組織を保護するための鍵となります。