概要:パッチ回避攻撃でFortiGateに侵入
Fortinetの顧客は、以前修正された重要なFortiGate認証脆弱性(CVE-2025-59718)に対するパッチ回避が攻撃者によって悪用され、パッチが適用されたはずのファイアウォールがハッキングされていると報告しています。ある影響を受けた管理者は、Fortinetが最新のFortiOSバージョン(7.4.10)でも、FortiOS 7.4.9のリリース時に12月初旬にパッチが適用されるはずだったこの認証バイパス脆弱性が完全に修正されていないことを認めたと主張しています。Fortinetは、この脆弱性を完全に修正するため、数日中にFortiOS 7.4.11、7.6.6、および8.0.0をリリースする予定と報じられています。
管理者の報告と攻撃の手口
ある管理者からの報告によると、FortiOS 7.4.9 (FGT60F) を実行しているFortiGateデバイスで悪意のあるSSOログインが発生し、SIEMがローカル管理者アカウントの作成を検知したとのことです。「CVE-2025-59718で侵入された際と全く同じ状況に見える」と管理者は述べており、自身の環境では12月30日以降7.4.9にアップデート済みであったと付け加えています。顧客が共有したログには、IPアドレス 104.28.244.114 からの cloud-init@mail.io のSSOログインを介して管理者ユーザーが作成されたことが示されています。これらのログは、サイバーセキュリティ企業Arctic Wolfが2025年12月に観測したCVE-2025-59718の以前の悪用事例と類似しており、Arctic Wolfは攻撃者が悪意のあるSAMLメッセージを介してこの脆弱性を積極的に悪用し、管理者アカウントを侵害していると報告していました。別の管理者も同様の活動を観測しており、「7.4.9でも同じユーザーログインとIPアドレスで、『helpdesk』という新しいシステム管理者ユーザーが作成された。サポートに問い合わせ中だ。追記:Fortinetの開発チームは、この脆弱性がv7.4.10でも修正されていないか、あるいは残存していることを確認した」と述べています。
緊急の対策と影響範囲
Fortinetが完全にパッチが適用されたFortiOSリリースを提供するまで、管理者は攻撃からシステムを保護するために、脆弱なFortiCloudログイン機能(有効になっている場合)を一時的に無効にすることが推奨されます。FortiCloudログインを無効にするには、「システム」->「設定」に移動し、「FortiCloud SSOを使用した管理ログインを許可」をオフに切り替えます。または、コマンドラインインターフェースから以下のコマンドを実行することも可能です。
config system global
set admin-forticloud-sso-login disable
end幸いなことに、Fortinetが元々のアドバイザリで説明しているように、攻撃の標的となっているFortiCloudシングルサインオン(SSO)機能は、デバイスがFortiCareに登録されていない場合、デフォルトでは有効になっていません。これにより、脆弱なデバイスの総数は減少するはずです。しかし、Shadowserverは12月中旬に、FortiCloud SSOが有効になっている25,000台以上のFortinetデバイスがオンラインに公開されていることを依然として確認しました。現在、その半数以上が保護されていますが、Shadowserverは依然として11,000台以上のデバイスがインターネット経由でアクセス可能であることを追跡しています。CISA(米国サイバーセキュリティ・社会基盤安全保障庁)も、このCVE-2025-59718 FortiCloud SSO認証バイパスの脆弱性を積極的に悪用されている脆弱性のリストに追加し、連邦政府機関に1週間以内のパッチ適用を命じています。
その他の関連脆弱性
また、現在、ハッカーはFortinet FortiSIEMの別の重要な脆弱性を積極的に悪用しており、公開されている概念実証(PoC)エクスプロイトコードを使用することで、パッチが適用されていないデバイス上でroot権限でのコード実行が可能となっています。