FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

漏洞概况

攻击者正在利用Fortinet FortiGate设备及其相关产品中的关键身份验证绕过漏洞（CVE-2025-59718和CVE-2025-59719）发起入侵。通过构造恶意SAML消息，攻击者能够实现未经验证的单点登录（SSO），从而获取系统管理员权限。

Fortinet于2025年12月9日通过PSIRT安全公告披露了这些漏洞，随后Arctic Wolf发布安全警报，敦促用户立即安装补丁。

影响范围

当启用FortiCloud SSO功能时，以下产品线均受影响：

• FortiOS
• FortiWeb
• FortiProxy
• FortiSwitchManager

攻击细节

FortiCloud SSO登录功能在出厂设置中默认关闭，但通过FortiCare GUI注册设备时会自动激活，除非管理员明确禁用"允许使用FortiCloud SSO进行管理登录"选项。这一常见配置疏忽使暴露在互联网的设备面临远程攻击风险。

攻击者一旦利用漏洞，即可完全绕过身份验证。Arctic Wolf监测到的入侵活动主要来自以下IP地址段：

• The Constant Company LLC：45.32.153[.]218、167.179.76[.]111、199.247.7[.]82
• Bl Networks：45.61.136[.]7
• Kaopu Cloud HK Limited：38.54.88[.]203、38.54.95[.]226、38.60.212[.]97

攻击日志示例显示，攻击者成功通过SSO登录admin账户：

date=2025-12-12 time=REDACTED ... logid="0100032001" ... user="admin" ui="sso(199.247.7[.]82)" method="sso" srcip=199.247.7[.]82 ... action="login" status="success" ...

登录后，攻击者从相同IP通过GUI导出设备配置：

date=2025-12-12 time=REDACTED ... logid="0100032095" ... action="download" ... msg="System config file has been downloaded by user admin via GUI(199.247.7[.]82)"

修复方案

Fortinet已发布各产品线的修复版本。以下为受影响版本及对应修复版本：

缓解措施

1. 若发现恶意日志记录，立即重置所有防火墙凭证。即使配置文件中密码已哈希处理，弱密码仍可能遭受离线字典攻击。

2. 将管理接口限制为仅限可信内部网络访问。Arctic Wolf监测到针对Fortinet等设备的重复攻击活动，通常通过暴露的搜索引擎发起。

3. 临时解决方案：禁用FortiCloud SSO功能：

   • 图形界面：系统 > 设置，关闭"允许使用FortiCloud SSO进行管理登录"选项
   • CLI命令：

     config system global
     set admin-forticloud-sso-login disable
     end
     

随着针对防火墙的攻击增加，企业应优先升级系统。Arctic Wolf强调需保持警惕，其托管检测与响应（MDR）平台将持续监测相关攻击模式并向受影响客户发出警报。

参考来源：

Critical FortiGate Devices SSO Vulnerabilities Actively Exploited in the Wild

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）