【 資安警訊 】- Fortinet 修補的漏洞已遭駭客濫用
發布編號:OIS-CTI-2025-12-004
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
在 Fortinet 修補兩項產品重大漏洞 CVE-2025-59718 及 CVE-2025-59719 的兩天後,資安業者開始觀察到 FortiGate 裝置出現惡意單一簽入登入的跡象。
圖片來源:iThome
Fortinet 上周修補影響旗下防火牆、閘道器等產品的兩個重大漏洞已經遭人濫用。
這兩項漏洞 CVE-2025-59718 及 CVE-2025-59719,皆為加密簽章不當驗證造成,未經身分驗證的攻擊者可發送特製的SAML訊息,即可繞過 FortiCloud 單一簽入(SSO)的身分驗證機制,啟用此單一簽入機制的 FortiOS、FortiWeb、FortiProxy,或是 FortiSwitchManager 都會受影響。這兩項漏洞 CVSS 風險分數皆達 9.8。
早在 Fortinet 修補兩個漏洞後兩日,即 12 月 12 日資安業者 Arctic Wolf 就開始觀察到閘道器FortiGate 裝置,出現惡意單一簽入登入(SSO login)的跡象。
分析存取 IP 位置是來自數家代管業者,包括 The Constant Company LLC, BL Networks 及 Kaopu Cloud HK Limited,意謂可能是協同攻擊。一如常見惡意登入,這幾波存取的目標也是管理員帳號。而攻擊者在成功登入後,就將系統配置資訊(像是憑證及裝置設定)利用 GUI 介面傳到來源IP 位址。
研究人員建議受影響的 Fortinet 用戶應重設防火牆憑證,不可因憑證多半經過雜湊處理而心存僥倖,特別是如果憑證屬於弱密碼,可能容易遭到字典攻擊破解。此外,企業應將防火牆、VPN 裝置的管理介面存取權,限縮於少數受信託的內部使用者。
研究人員也呼籲 Fortinet 用戶升級到最新版軟體。此外 Fortinet 建議尚未安裝更新的用戶,應先關閉 FortiCloud 登入。
影響平台:
Fortinet 防火牆、閘道器
建議措施:
Fortinet 建議並使用最新的安全性修補程式等級版本。
版本 影響 解決方案
參考連結 :