Fortinet确认:已完全修补的FortiGate防火墙仍存在活跃的FortiCloud SSO绕过漏洞
Fortinet已正式确认,正在全力修复一个FortiCloud SSO认证绕过漏洞。此前有报告显示,在已完全修补的防火墙上出现了新的漏洞利用活动。
Fortinet首席信息安全官Carl Windsor在周四的一篇文章中表示:“在过去24小时内,我们发现了一些案例,攻击发生时设备已完全升级到最新版本,这表明存在一条新的攻击路径。”
该活动本质上是绕过了网络安全供应商为修复CVE-2025-59718和CVE-2025-59719而部署的补丁。如果受影响设备上启用了FortiCloud SSO功能,这两个漏洞可能允许攻击者通过特制的SAML消息未经认证地绕过SSO登录认证。Fortinet最初于上个月修复了这些问题。
然而,本周早些时候出现了新的活动报告:在已针对这两个漏洞打补丁的设备上,针对管理员账户出现了恶意的FortiGate设备SSO登录记录。该活动与去年12月(CVE-2025-59718和CVE-2025-59719披露后不久)观察到的安全事件类似。
该活动涉及创建通用账户以实现持久化访问、进行配置更改以授予这些账户VPN访问权限,以及将防火墙配置提取到不同的IP地址。已观察到威胁行为者使用名为“cloud-noc@mail.io”和“cloud-init@mail.io”的账户登录。
作为缓解措施,该公司敦促采取以下行动:
- 通过应用本地入站策略(local-in policy)限制边缘网络设备通过互联网的管理访问
- 通过禁用“admin-forticloud-sso-login”来禁用FortiCloud SSO登录
Fortinet表示:“需要注意的是,虽然目前仅观察到FortiCloud SSO被利用,但此问题适用于所有SAML SSO实现。” MYEMpdC9hms06DwNF82knFqMA1Tf0jokzPTi2Zj63DobWSN8SoIj5I8vcrxW42QIcCNaIheDpCUM0jJd6amNBw9VCpd9BmQudO7qnp/F5DM=
