吳明宜在 Fortinet 用戶通報修補了最新漏洞的防火牆裝置再次被駭後,Fortinet 坦承修補程式並未完全解決問題。
去年 12 月,Fortinet 修補了 FortiCloud 單一簽入(SSO)漏洞 CVE-2025-59718 及 CVE-2025-59719 。這兩個漏洞皆源於簽章驗證不當,使攻擊者可傳送竄改的 SAML 訊息,繞過 FortiCloud 身分驗證機制存取系統,進而洩露裝置組態資訊,風險值被列為 CVSS 9.8 (Critical) 。受影響裝置包括 FortiOS 、 FortiWeb 、 FortiProxy 及 FortiSwitchManager,以及安裝這些軟體的設備。 Fortinet 當時迅速釋出更新版軟體,並呼籲用戶儘速安裝,因為這兩個漏洞已出現攻擊行為。
不過,上週卻有多家 Fortinet 用戶反映,即使已安裝更新,系統仍遭駭客入侵。此外,資安廠商 Arctic Wolf 從今年 1 月 15 日起偵測到新一波針對 FortiGate 裝置的濫用惡意活動,有人在未經授權的情況下變更了防火牆組態。
攻擊者利用 FortiCloud SSO 漏洞登入後,便從 GUI 介面下載防火牆組態檔,接著新增次要管理員帳號以維持持續性滲透 (persistence) 。由於這些過程之間僅間隔數秒,研究人員推測可能是由自動化腳本程式或工具執行。研究人員也觀測到,本波攻擊與去年記錄到的攻擊模式十分類似。目前尚不清楚攻擊者是駭客組織或是惡意程式自動擴散。
遭駭的企業用戶分享了攻擊指標 (IOC),指出攻擊者從 IP 位址 104.28.244.114 的 email 帳號 (cloud-init@mail.io) 建立了次級管理員後門帳號。這與廠商分享的二個帳號相同(cloud-init@mail.io 及 cloud-noc@mail.io)。此外,駭客建立的後門帳號名稱包括 secadmin 、 itadmin 、 support 等。
上週四,Fortinet 終於證實數起攻擊案例發生在已「完全升級」的裝置上,這顯示存在新的攻擊路徑或修補不全。 Fortinet 產品安全團隊已經辨識出問題所在,目前正在開發完整修補程式以解決問題。
該公司將在修補程式及時程確認後發出安全公告。 Fortinet 強調,此時雖然只有觀察到 FortiCloud SSO 功能遭濫用,但所有具有 SAML SSO 實作的環境都可能受影響。
在 Fortinet 釋出完整修補程式前,建議用戶實行嚴格的安全政策,將邊緣網路裝置的管理員權限縮小到受信任的 IP 位址。此外,用戶最好暫時關閉 Fortinet 裝置上的 FortiCloud SSO 功能,操作路徑為:System > Settings > Switch,再關閉「Allow administrative login using FortiCloud SSO」(允許管理員登入 FortiCloud SSO)。
若已觀察到前述入侵指標的用戶,Fortinet 建議應視為自己已經遭駭,並立即輪換憑證(包含所有 LDAP/AD 帳號)並重設系統組態。
根據網路觀察組織 Shadowserver 的偵測,現今全球還有近一萬台 Fortinet 裝置處於曝險狀態。美國網路安全暨基礎架構安全管理署 (CISA) 去年已將 CVE-2025-59718 加入已遭濫用漏洞 (KEV) 名單。