Fortinet高危漏洞CVE-2025-59718与CVE-2025-59719遭野外利用解析

本文深入分析了Fortinet设备中两个已被野外利用的严重漏洞CVE-2025-59718和CVE-2025-59719,涵盖其技术原理、影响范围、厂商缓解指南以及安全厂商的观测发现。

Fortinet 高危漏洞 CVE-2025-59718、CVE-2025-59719 遭野外利用

Rapid7 | 2025年12月18日 | 最后更新于2025年12月18日 | 阅读时间约3分钟

目录

  • 概述
  • Rapid7 观察
  • 缓解指南
  • Rapid7 客户
  • 更新

概述

最近披露的一对影响 Fortinet 设备的漏洞——CVE-2025-59718 和 CVE-2025-59719——在确认其已在野外被主动利用后,引起了紧急关注。这两个漏洞具有严重级别的 CVSSv3 评分,允许未经身份验证的远程攻击者使用特制的 SAML 消息绕过身份验证,最终获得设备的管理员访问权限。当前信息表明,这两个 CVE 具有相同的根本原因,并根据受影响的产品进行区分:CVE-2025-59719 专门影响 FortiWeb,而 CVE-2025-59718 影响 FortiOS、FortiProxy 和 FortiSwitchManager。

虽然存在漏洞的 FortiCloud SSO 功能在出厂设置中默认是禁用的,但当设备通过 GUI 注册到 FortiCare 时,除非管理员明确选择退出,否则该功能会自动启用。这种行为显著增加了已注册部署环境面临风险的可能性。Arctic Wolf 已确认存在主动利用行为,并且 CVE-2025-59718 已于 12 月 16 日被添加到 CISA 的已知被利用漏洞 (KEV) 目录中。

观察到的攻击显示,威胁行为者以管理员用户身份进行认证后,会立即下载系统配置文件,该文件通常包含哈希处理的凭据。因此,任何出现入侵迹象的组织都必须假设凭据已暴露,并据此作出响应。厂商已提供补丁,组织在进行修复的同时,也可以通过禁用 FortiCloud SSO 管理登录来采取即时的防御行动。

Rapid7 观察

截至 2025 年 12 月 17 日,Rapid7 已观察到其网络内的蜜罐遭受到 CVE-2025-59718 漏洞利用尝试。此外,一个与观察到的蜜罐请求相似的漏洞利用概念验证代码已被发布到 GitHub。Rapid7 正在针对已确认的易受攻击目标验证这些漏洞利用。

缓解指南

2025年12月9日,Fortinet 发布了一份公告,概述了针对 CVE-2025-59718 和 CVE-2025-59719 的修复步骤。根据 Fortinet 的信息,以下版本受到影响,同时也列出了各主要发布分支的已修复版本。

Fortinet 的公告指出,CVE-2025-59718 影响以下产品和版本:

FortiOS

  • 7.6 分支: 版本 7.6.0 至 7.6.3 受影响,需升级到 7.6.4 或更高版本。
  • 7.4 分支: 版本 7.4.0 至 7.4.8 受影响,需升级到 7.4.9 或更高版本。
  • 7.2 分支: 版本 7.2.0 至 7.2.11 受影响,需升级到 7.2.12 或更高版本。
  • 7.0 分支: 版本 7.0.0 至 7.0.17 受影响,需升级到 7.0.18 或更高版本。

FortiProxy

  • 7.6 分支: 版本 7.6.0 至 7.6.3 受影响,需升级到 7.6.4 或更高版本。
  • 7.4 分支: 版本 7.4.0 至 7.4.10 受影响,需升级到 7.4.11 或更高版本。
  • 7.2 分支: 版本 7.2.0 至 7.2.14 受影响,需升级到 7.2.15 或更高版本。
  • 7.0 分支: 版本 7.0.0 至 7.0.21 受影响,需升级到 7.0.22 或更高版本。

FortiSwitchManager

  • 7.2 分支: 版本 7.2.0 至 7.2.6 受影响,需升级到 7.2.7 或更高版本。
  • 7.0 分支: 版本 7.0.0 至 7.0.5 受影响,需升级到 7.0.6 或更高版本。

Fortinet 的公告指出,CVE-2025-59719 影响以下产品和版本:

FortiWeb

  • 8.0 分支: 版本 8.0.0 受影响,需升级到 8.0.1 或更高版本。
  • 7.6 分支: 版本 7.6.0 至 7.6.4 受影响,需升级到 7.6.5 或更高版本。
  • 7.4 分支: 版本 7.4.0 至 7.4.9 受影响,需升级到 7.4.10 或更高版本。

有关最新的缓解指南,请参阅 Fortinet 安全公告。

Rapid7 客户

Exposure Command, InsightVM 和 Nexpose Exposure Command、InsightVM 和 Nexpose 客户可以使用 12 月 17 日内容更新中提供的经过身份验证的漏洞检查来评估他们是否受 CVE-2025-59718 和 CVE-2025-59719 影响。

Intelligence Hub 利用 Rapid7 Intelligence Hub 的客户可以追踪 CVE-2025-59718 和 CVE-2025-59719 的最新进展,包括入侵指标 (IOCs)。

更新

  • 2025年12月17日: 首次发布。
  • 2025年12月17日: 更新覆盖范围。
  • 2025年12月18日: 添加 Intelligence Hub 部分。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次