Fortinet、SSOバイパス脆弱性の悪用を公式確認
Fortinetは、重要なFortiCloudシングルサインオン(SSO)認証バイパス脆弱性(CVE-2025-59718およびCVE-2025-59719)が活発に悪用されていることを公式に確認しました。これらの脆弱性は2025年12月に社内コード監査中に発見され、すでに顧客環境での悪用が報告されています。
脆弱性の詳細と影響
この脆弱性は、FortiOS、FortiWeb、FortiProxy、FortiSwitch ManagerデバイスにおけるFortiCloud SSO実装における暗号署名の不適切な検証に起因します。これにより、認証されていない攻撃者が悪意のあるSAMLメッセージを作成することでログイン認証をバイパスし、影響を受けるデバイスへの不正な管理者アクセスを可能にします。FortiCloud SSOはデフォルトで有効になっていませんが、「Allow administrative login using FortiCloud SSO」設定を明示的に無効にせずにFortiCareにデバイスを登録すると有効になります。
新たな攻撃経路の浮上と脅威の拡大
当初、顧客から不審なログイン活動が報告されたことから脅威の状況が劇的に変化しました。さらに重大なことに、Fortinetのセキュリティチームは、最新のパッチが適用されたシステム上でも悪用事例を特定しました。これは、元の脆弱性開示を超えた未発見の攻撃経路が存在することを示唆しています。この発見は、脅威アクターがFortinetのSSO認証メカニズム内に追加の悪用経路を特定したことを示唆しています。Fortinetは現在、この新しい攻撃手法を積極的に調査し、修正策を開発中です。同社は、修正範囲とタイムラインが確定次第、更新された勧告を発表する予定です。セキュリティリーダーシップは、FortiCloud SSOの悪用が観測されたインシデントの大部分を占めているものの、根本的な脆弱性は脆弱な製品バージョンのすべてのSAMLベースのSSO実装に影響し、当初評価されていたよりも広範な露出を引き起こしていることを強調しています。
影響を受ける製品と推奨される緩和策
この脆弱性は、複数のファームウェアバージョンにわたる複数の製品ラインに影響を与えます。
- FortiOS: 7.0から7.6までが影響を受け、バージョン7.0.18から7.6.4以降の解決策が必要です。
- FortiProxy: 7.0から7.6までが影響を受け、それぞれ7.0.22、7.2.15、7.4.11、または7.6.4への更新が必要です。
- FortiWeb: 7.4、7.6、および8.0にはパッチ適用が必要です。
- FortiSwitch Manager: 7.0および7.2には、それぞれ7.0.6および7.2.7へのアップグレードが必要です。
直ちにパッチを適用できない組織向けに、Fortinetはシステム設定またはCLIコマンド(config system global、set admin-forticloud-sso-login disable、end)を介してFortiCloud SSOログイン機能を無効にすることを推奨しています。この一時的な緩和策は、パッチの展開が進む間、認証バイパスの経路を排除します。
セキュリティへの影響と組織が取るべき行動
確認された悪用、新たに発見された攻撃経路、および複数の製品への影響の組み合わせは、Fortinetインフラストラクチャに依存する企業にとってリスクを高めています。組織は、脆弱なバージョンを特定するための脆弱性スキャンを優先し、パッチ展開状況を検証し、FortiCloud SSOが無効になっているか、パッチが適用されたリリースに更新されていることを確認する必要があります。ネットワーク防御担当者は、異常な管理者ログインイベント、特に予期せぬ地理的起源からのものや通常の操作と一致しないタイミングのものを監視する必要があります。Fortinetの管理者は、パッチが普遍的に展開されるまで、ファームウェアの更新を重要と見なし、基本的なセキュリティ制御を必須と見なす必要があります。この事件は、ハイブリッドセキュリティアーキテクチャ全体における一貫したSSOセキュリティ態勢の重要性と、エンタープライズアプライアンスにおける認証バイパス脆弱性によってもたらされる継続的な脅威を強調しています。