FortiCloud SSO 认证绕过暴露攻击面防御的紧迫性
Criminal IP 团队 · 5分钟阅读 · 2天前
2025年12月9日,Fortinet 发布了一份重要安全公告,涉及两个影响 FortiOS、FortiWeb、FortiProxy 和 FortiSwitchManager 的身份验证绕过漏洞,编号分别为 CVE-2025-59718 和 CVE-2025-59719。这些漏洞允许未认证的攻击者利用 FortiCloud SSO 登录过程中不正确的加密签名验证来获取管理员访问权限。
在公告发布几天后,就有报告称漏洞已被积极利用,CISA 也已将这些漏洞加入其已知被利用漏洞目录。此次事件再次凸显了 Fortinet 漏洞中反复出现的模式:暴露在互联网上的管理界面以及长期存在的配置问题,成为企业全局被入侵的入口。本文分析了这些漏洞的技术风险,并解释了为什么企业必须转向以攻击面管理驱动的防御策略。
FortiCloud SSO 认证绕过:概述
CVE-2025-59718
影响:FortiOS、FortiProxy、FortiSwitchManager
CVE-2025-59719
影响:FortiWeb
这两个漏洞均源于 SAML 响应消息中加密签名验证的不当处理。通过发送特制的 SAML 消息,未认证的攻击者可以诱使设备授予管理员会话,而无需完成正常的身份验证流程。
Fortinet 指出,在出厂设置中,FortiCloud SSO 登录默认是禁用的。然而,一个关键的运维细节显著扩大了攻击面:当设备通过图形化界面注册到 FortiCare 时,除非管理员明确禁用“允许使用 FortiCloud SSO 进行管理登录”选项,否则 FortiCloud SSO 登录功能可能会自动启用。
因此,许多组织可能在没有刻意部署基于 SSO 的管理的情况下,无意中满足了被利用的条件。
观察到的攻击流程与影响分析
攻击者最早于2025年12月12日开始进行机会性扫描和利用。攻击流程通常包括以下步骤:
- 识别暴露的管理界面:攻击者扫描公共互联网,寻找具有可访问图形化管理界面的 Fortinet 设备。
- 身份验证绕过:向
admin账户端点发送特制的 SAML 消息。 - 配置信息泄露:获取访问权限后,攻击者立即通过图形化界面导出设备配置文件。
- 凭证破解:尽管配置文件中的密码是哈希形式,但攻击者会进行离线字典攻击以破解弱凭证,从而即使在初始漏洞被修补后仍能保持持久访问。
截至2025年12月22日,尽管补丁已公开发布,仍有超过400个资产易受 CVE-2025-59718 漏洞的影响。
为何 Fortinet 边缘设备漏洞持续被积极利用
FortiCloud SSO 认证绕过并非孤立事件。近期 Fortinet 漏洞反复遵循相同模式:公开披露、利用技术迅速出现、以及针对暴露的边缘设备的攻击。
在许多情况下,根本原因不仅仅是漏洞本身,还包括外部暴露的管理服务以及运维环境中的配置漂移。
在多个真实事件中,攻击者始终优先选择外部可达的边缘基础设施,将暴露的管理访问作为建立初始控制的一种低门槛方式。
从了解漏洞到看清完整攻击面
传统的漏洞管理侧重于识别受影响版本和应用补丁,但这种方法假设组织在漏洞披露时能够清晰了解哪些资产是外部可达的。在积极利用期间,许多安全团队难以快速确定哪些管理界面实际暴露且可被利用,从而在漏洞意识和实际风险之间产生了差距。
攻击面管理通过从攻击者的角度持续识别外部暴露的资产来解决这一挑战。在 FortiCloud SSO 认证绕过的背景下,攻击面管理驱动的方法使安全团队能够验证 Fortinet 管理界面和 SSO 相关端点是否可从互联网访问,将暴露条件与已知漏洞关联起来,并基于实际暴露而非假设来优先进行修复。
针对 Fortinet 边缘环境的基本攻击面管理功能
在 FortiCloud SSO 认证绕过等事件中,攻击者不仅仅依赖漏洞本身。相反,他们专注于外部暴露的管理界面以及在披露后仍然存在的错误配置。以下四项攻击面管理功能对于减轻 Fortinet 相关风险尤为关键:
- 持续发现新暴露的资产:自动检测新暴露或变更的 Fortinet 资产,使安全团队能够快速识别由于配置或运维变更而变得互联网可达的管理界面。
- 识别暴露的管理界面:将外部可访问的 Fortinet 管理图形化界面、VPN 门户和 SSO 相关端点识别为最可能被用于初始访问的高风险入口点。
- 外部暴露与已知漏洞的关联:将外部暴露的 Fortinet 资产与相关 CVE 关联起来,使得修复工作能够基于实际可利用性而非理论严重性进行优先级排序。
- 验证修复有效性:攻击面管理验证补丁或配置变更是否实际减少了外部暴露,帮助确保修复后管理界面不再对攻击者可达。
结论
FortiCloud SSO 认证绕过漏洞(CVE-2025-59718/CVE-2025-59719)是一个典型例子,说明了为什么现代网络安全必须超越简单的补丁管理。关键软件缺陷与意外外部暴露的交集创造了一个高风险环境,攻击者会迅速利用。
通过转向攻击面管理驱动的防御,组织可以获得所需的可见性,以在威胁行为者发现之前识别未受管理的界面并纠正配置漂移。保护网络边缘不再仅仅关乎防火墙的强度;更关乎确切地知道边缘在哪里,并确保它没有不必要的暴露。
与此相关,您可以参考《朝日 GHD 勒索软件事件:VPN 利用案例与基于攻击面管理的预防策略》。 CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyG4QFc5Xcg3gozZCy/HhAMerNOEicAurig93XcMzmX0pTynBNAop2IvVICzWZYiVqxfIlwp0+UDTS2RKdHHUrERGQVivulZz+MrZhCMj0yMv2eX3MSB8irUN42qBkhY5t+33OHZ8h/F9EsekwCVXw0u
