吳明宜Fortinet 上週才公布兩個新軟體漏洞的修補程式,不到兩天 FortiGate 就遭到惡意攻擊。資安廠商 Arctic Wolf 本週表示,在 Fortinet 發布 CVE-2025-59718 及 CVE-2025-59719 不到一個星期,就觀察到 FortiGate 裝置遭人利用惡意單一登入 (SSO) 未授權登入,且駭客已開始將裝置配置資訊傳送出去。這兩個漏洞皆源於簽章驗證不當,使攻擊者可傳送竄改的 SAML 訊息,繞過 FortiCloud 身分驗證機制存取系統,被列為 CVSS 9.8 的重大漏洞。 FortiOS 、 FortiWeb 、 FortiProxy 及 FortiSwitchManager 裝置皆受影響。
雖然 FortiCloud SSO 預設為關閉狀態,但在 FortiCare 註冊時會自動開啟,除非管理員主動利用 FortiCloud SSO 設定介面將其關閉。
Arctic Wolf 追查登入的來源 IP,發現來自三家託管服務供應商,包括 The Constant Company 、 BI Networks 及 Kaopu Cloud HK,攻擊目標鎖定管理員帳號。該資安業者告訴媒體,這波攻擊尚處於初期階段,因此影響範圍尚未擴大,目前攻擊源頭與本質仍不明朗。
Arctic Wolf 強調,雖然網路裝置中的用戶憑證一般都經過雜湊處理,但駭客可能離線破解雜湊,特別是若使用弱憑證,極可能遭到字典攻擊破解。
研究人員建議企業應儘速安裝新版軟體。若暫時無法更新,建議用戶應先關閉 FortiCloud SSO,並且將 VPN 、防火牆管理介面的存取權限,限縮至少數受信任的使用者。 Fortinet 客戶若發現入侵跡象,建議應立即重設外洩配置中的雜湊憑證。
美國網路安全暨基礎架構安全管理署 (CISA) 本週已將 CVE-2025-59718 加入已知遭駭漏洞 (KEV) 目錄,要求聯邦機關在 12 月 23 日以前完成更新安裝。