Fortinet SSO登入漏洞再現濫用活動 FortiGate遭變更組態

Fortinet去年12月公布並修補FortiCloud SSO登入漏洞，近日被安全研究人員發現網路上又再度出現濫用活動，篡改受害FortiGate裝置配置。

從今年1月15日起Arctic Wolf研究人員發現，新一波針對FortiGate裝置的自動執行的惡意活動，在非授權情況下變更防火牆配置。

這波攻擊主要目的在建立新的通用帳號以便持久存取，變更防火牆配置可讓攻擊者以VPN存取這些帳號及外洩防火牆配置。

遭到存取的是Fortinet上個月修補的重大驗證繞過漏洞：CVE-2025-59718與CVE-2025-59719。二個漏洞可讓攻擊者傳送變造的SAML訊息繞過單一簽入（SSO）登入驗證登入裝置（假如已開啟FortiCloud SSO登入功能）。兩漏洞風險值皆高達9.8，影響產品涵括FortiOS、FortiWeb、FortiProxy及FortiSwitchManager。

兩個漏洞在公布後不到一周就發生濫用情形。到12月底網路上還有超過2萬臺裝置曝險。

在最新的攻擊中，在利用FortiCloud SSO登入後，就經由GUI介面下載防火牆配置，接著攻擊者就新增次要管理員帳號以維持持久存取。上述階段之間皆間隔數秒、顯示可能是自動化腳本程式或工具執行。

由於這是還在進行的事件，有許多細節目前還不清楚。研究人員目前追查出的入侵指標包括二個登入防火牆的惡意帳號、數個連線來源IP位址，包括來自美國、歐洲及Cloudflare的伺服器（但可能作為代理節點或被濫用），以及駭客建立的後門管理員帳號（如secadmin、itadmin、support等）。

研究人員建議管理員將Fortinet軟體升級到最新版本、檢查是否有異常SSO登入與配置下載行為，重設受影響防火牆系統的憑證與密碼，並且將裝置管理介面權限縮限到受信賴的內部使用者。

針對尚未能修補漏洞的企業，研究人員建議管理員關閉FortiCloud SSO登入功能。