Fortinet防火牆單一登入漏洞遭利用，攻擊者竊取服務帳號憑證、網路組態設定

攻擊者鎖定Fortinet防火牆設備FortiGate下手，藉此取得受害組織內部網路環境的存取管道，最近一起事故是駭客透過AI策畫攻擊行動，並生成所需惡意程式，鎖定組態配置不當的FortiGate防火牆下手，然而，近日該公司修補的重大漏洞，再傳被用於攻擊活動，企業組織應提高警覺。

資安公司SentinelOne近日揭露多起入侵事件，攻擊者從2025年11月開始，利用資安漏洞滲透FortiGate設備，取得存取內部網路環境的入口，進而竊取服務帳號與系統設定檔，最終深入企業內部的AD環境，並部署遠端管理工具。

攻擊者主要利用多個Fortinet單一登入（SSO）漏洞，包括CVE-2025-59718與CVE-2025-59719，這些漏洞源於系統未正確驗證加密簽章，使未經驗證的攻擊者能透過特製的SSO權杖（Token）取得管理員存取權限。此外，另一項漏洞CVE-2026-24858也可能被利用，使攻擊者能透過自己的FortiCloud帳號登入受害設備。

一旦成功存取FortiGate設備，攻擊者會執行特定指令匯出設備設定檔。由於FortiOS的設定檔採用可逆加密方式（reversible form of encryption）儲存，攻擊者可從中解析出系統服務帳號與網路拓撲資訊，進而取得進一步入侵企業環境所需的憑證。

在其中一起事件中，攻擊者利用取得的服務帳號權限連線至企業網路，濫用AD組態設定當中名為mS-DS-MachineAccountQuota的屬性，將兩臺惡意工作站加入網域。該屬性預設允許一般帳號將最多10臺電腦加入網域，使攻擊者得以在較少安全限制下進一步滲透企業環境。

SentinelOne表示，攻擊者接著在網路內部進行掃描與帳密噴灑攻擊，試圖取得更多帳號存取權限。受害組織的AD系統也觀察到大量登入失敗記錄，顯示攻擊者正嘗試透過暴力破解方式取得更多憑證。

在另一起事故裡，攻擊者入侵FortiGate設備後建立名為「ssl-admin」的本機管理帳號，隨後利用取得的網域管理員帳密登入多臺伺服器。研究人員指出，攻擊者在登入後部署遠端監控與管理（RMM）工具，例如Pulseway與MeshAgent，以維持繼續存取的權限。

攻擊者同時利用雲端儲存服務下載惡意程式，這些服務包括Google Cloud Storage與Amazon S3，並將惡意DLL偽裝為Java元件，以DLL側載手法執行惡意程式。這些程式隨後與外部惡意網域通訊，並透過PsExec在網路內橫向移動，對網域控制器（DC）發動攻擊。