攻撃の概要

サイバーセキュリティ企業Arctic Wolfは、Fortinet FortiGateデバイス上で不正なファイアウォール設定変更を伴う「新たな自動化された悪意ある活動のクラスター」について警告を発しました。この活動は2026年1月15日に開始され、2025年12月に発生したキャンペーンと類似点があるとされています。このキャンペーンでは、CVE-2025-59718とCVE-2025-59719を悪用し、異なるホスティングプロバイダーからの管理アカウントに対して悪意のあるSSOログインがFortiGateアプライアンスで記録されました。

脆弱性の詳細

上記二つの脆弱性は、影響を受けるデバイスでFortiCloudシングルサインオン (SSO) 機能が有効になっている場合、細工されたSAMLメッセージを介してSSOログイン認証の未認証バイパスを可能にします。これらの欠陥は、FortiOS、FortiWeb、FortiProxy、およびFortiSwitchManagerに影響を与えます。

攻撃の手口

Arctic Wolfによると、この活動には永続性を目的とした一般的なアカウントの作成、これらのアカウントへのVPNアクセスを許可する設定変更、およびファイアウォール設定の持ち出しが含まれます。具体的には、攻撃者は「cloud-init@mail.io」という悪意あるアカウントに対して、以下の4つの異なるIPアドレスから悪意のあるSSOログインを実行し、その後GUIインターフェースを介してファイアウォール設定ファイルをこれらのIPアドレスにエクスポートしています。

• 104.28.244[.]115
• 104.28.212[.]114
• 217.119.139[.]50
• 37.1.209[.]19

さらに、脅威アクターは永続性のために「secadmin」、「itadmin」、「support」、「backup」、「remoteadmin」、「audit」といったセカンダリアカウントを作成しているのが観測されています。「上記すべてのイベントは数秒以内に発生しており、自動化された活動の可能性を示唆しています」とArctic Wolfは付け加えています。

この開示は、Redditの投稿と時期を同じくしており、複数のユーザーが完全にパッチ適用済みのFortiOSデバイスで悪意のあるSSOログインを目撃したと報告しています。あるユーザーは「Fortinet開発チームが、脆弱性はバージョン7.4.10で修正されていないか、または依然として存在することを確認した」と述べています。

推奨される対策

現時点では、「admin-forticloud-sso-login」設定を無効にすることが推奨されています。

元記事: https://thehackernews.com/2026/01/automated-fortigate-attacks-exploit.html