Fortinet坦承FortiCloud SSO漏洞修補不全 將再釋出更新

在企業用戶反映遭駭及資安廠商揭露後，Fortinet上周證實去年12月修補的FortiCloud單一簽入漏洞修補不全，承諾將再釋出更新軟體。

今年1月15日起Arctic Wolf研究人員發現，新一波針對FortiGate裝置的惡意活動。有不明人士濫用，利用CVE-2025-59718非授權以FortiCloud SSO登入FortiGate，再經由GUI介面下載防火牆配置，接著攻擊者就新增次要管理員帳號以維持持久存取。攻擊者從cloud-init@mail.io及cloud-noc@mail.io兩個帳號登入防火牆。建立的後門帳號包括secadmin、itadmin、support等。由於皆間隔數秒、研究人員判斷可能是自動化腳本程式或工具執行。

於此同時，有些Fortinet產品用戶反映FortiGate遭人濫用，登入安裝CVE-2025-59718更新的裝置。但是其裝置都是安裝Fortinet去年12月釋出，已修補CVE-2025-59718及CVE-2025-59719漏洞的FortiOS 7.4.9版本。

Fortinet指出，近日一小部分客戶Fortinet裝置的異常登入活動和去年12月的問題非常類似。該公司證實，多起攻擊案例是發生在軟體完全更新到最新版本的產品，他們判斷可能有新的攻擊路徑。

網路觀察組織Shadowserver的偵測，在揭露近2個月後，現今全球還有超過1萬臺Fortinet裝置未補漏洞，而臺灣也還有99臺曝險。

Fortinet產品安全團隊聲稱已經找出問題，並且正在趕製修補程式。等修補範圍及時程確定後，Fortinet會再公布安全公告。Fortinet強調此時只有觀察到FortiCloud SSO功能遭濫用。但是本問題影響任何具有SAML SSO實作的環境。

在釋出完整修補程式前，Fortinet建議用戶實行安全政策，將邊緣網路裝置管理員權限縮小到受信賴的IP位址。由於尚未釋出完整修補程式，企業用戶應關閉Fortinet裝置上的FortiCloud SSO功能。若企業用戶已觀察到前述入侵指標，Fortinet建議用戶應立即輪換憑證（所有LDAP/AD帳號）並重設配置。