概要
脅威アクターが、FortinetのファイアウォールおよびプロキシにおけるFortiCloud SSO認証を迂回する目的で、深刻なFortinetの脆弱性(CVE-2025-59718およびCVE-2025-59719)を積極的に悪用しています。これらの脆弱性により、認証されていない攻撃者は悪意のあるSAMLメッセージを作成し、インターネットに公開されているデバイスで管理者アクセス権を取得することが可能になります。
脆弱性の詳細
これらの脆弱性は、FortiCloud SSOにおける不適切な暗号署名検証(CWE-347)に起因します。Fortinetは2025年12月9日にこの問題を公表し、CVSSスコアは9.8と評価されています。CISAはその後まもなく、CVE-2025-59718を既知の悪用されている脆弱性カタログに追加しました。
攻撃者は、SSOが有効になっているFortiOS、FortiProxy、FortiSwitchManager、およびFortiWebといった製品を標的にしています。SSOはFortiCare登録時に自動的に有効になることが多いため、多くのデバイスが影響を受ける可能性があります。悪用されると、「helpdesk」のようなバックドアアカウントが作成されたり、「admin」としてログインされたりします。その後、ハッシュ化された認証情報を含む設定がエクスポートされ、クラッキングの対象となります。
攻撃の現状
2025年12月12日以降、攻撃活動が急増し、Redditでの報告やArctic WolfによるFortiGate 7.4.9デバイスでの同一パターンの検出が見られました。特定のIPアドレスからの攻撃者はSSOログインを実行し、設定ファイルをダウンロードしていました。オンラインには、SSOが有効な状態で公開されているデバイスが25,000台以上存在するとされています。
2026年1月現在もパッチが適用されたシステムに対する攻撃者の戦術が洗練され、悪用が続いています。
影響を受ける製品とバージョン
- FortiOS 7.6: 7.6.0~7.6.3 (修正バージョン: 7.6.4以降)
- FortiOS 7.4: 7.4.0~7.4.8 (修正バージョン: 7.4.9以降)
- FortiProxy 7.4: 7.4.0~7.4.10 (修正バージョン: 7.4.11以降)
- FortiWeb 7.6: 7.6.0~7.6.4 (修正バージョン: 7.6.5以降)
※FortiOS 6.4、FortiWeb 7.0/7.2は影響を受けません。
推奨される対策
企業は以下の対策を直ちに実施することが求められます。
- 直ちにFortiCloud SSOを無効にする。(CLIコマンド:
config system global set admin-forticloud-sso-login disable end) - 速やかにパッチを適用する。
- 疑わしい管理者のログを監査する。
- 認証情報をローテーションする。
- 管理アクセスを信頼できるネットワークに制限する。
- 侵害を前提とした対応を取り、IOCs(侵害指標)との一致を確認する。
このキャンペーンは、CVE-2024-21762のような以前のFortinetの悪用事例と同様に、ネットワークアプライアンスを標的とする広範な傾向に合致しています。CISA KEVの更新情報やベンダーからの勧告に密接に注意を払うことが重要です。