Fortinet上周修補影響旗下防火牆、閘道器等產品的兩個重大漏洞已經遭人濫用。
這兩項漏洞CVE-2025-59718及CVE-2025-59719,皆為加密簽章不當驗證造成,未經身分驗證的攻擊者可發送特製的SAML訊息,即可繞過FortiCloud單一簽入(SSO)的身分驗證機制,啟用此單一簽入機制的FortiOS、FortiWeb、FortiProxy,或是FortiSwitchManager都會受影響。這兩項漏洞CVSS風險分數皆達9.8。
早在Fortinet修補兩個漏洞後兩日,即12月12日資安業者Arctic Wolf就開始觀察到閘道器FortiGate裝置,出現惡意單一簽入登入(SSO login)的跡象。
分析存取IP位置是來自數家代管業者,包括The Constant Company LLC, BL Networks及Kaopu Cloud HK Limited,意謂可能是協同攻擊。一如常見惡意登入,這幾波存取的目標也是管理員帳號。而攻擊者在成功登入後,就將系統配置資訊(像是憑證及裝置設定)利用GUI介面傳到來源IP位址。
研究人員建議受影響的Fortinet用戶應重設防火牆憑證,不可因憑證多半經過雜湊處理而心存僥倖,特別是如果憑證屬於弱密碼,可能容易遭到字典攻擊破解。此外,企業應將防火牆、VPN裝置的管理介面存取權,限縮於少數受信託的內部使用者。
研究人員也呼籲Fortinet用戶升級到最新版軟體。此外Fortinet建議尚未安裝更新的用戶,應先關閉FortiCloud 登入。
熱門新聞
2025-12-22
2025-12-19
2025-12-23
2025-12-22
2025-12-23
2025-12-19
Advertisement