Fortinet FortiGate 设备正遭受利用SAML SSO认证绕过的活跃攻击
严重性:危急 类型:漏洞利用
在公开披露后不到一周,威胁行为者已开始利用 Fortinet FortiGate 设备中两个新披露的安全漏洞。网络安全公司 Arctic Wolf 称,其在2025年12月12日观察到了针对 FortiGate 设备的恶意单点登录(SSO)入侵活动。该攻击利用了两次关键的认证绕过漏洞(CVE-2025-59718 和 CVE-2025-59719)。
AI分析技术摘要
Fortinet FortiGate 设备存在两个新近披露的关键漏洞(CVE-2025-59718 和 CVE-2025-59719),使得未经身份验证的攻击者能够绕过基于 SAML 的单点登录(SSO)认证。这些漏洞特别影响启用了 FortiCloud SSO 功能的设备,该功能在 FortiCare 注册期间会自动激活,除非管理员明确禁用它。
攻击过程涉及发送特制的 SAML 消息以绕过认证流程,从而使攻击者无需有效凭据即可获得管理员访问权限。Arctic Wolf Labs 观察到自2025年12月12日开始出现活跃攻击,攻击者针对"admin"账户执行恶意 SSO 登录。入侵得逞后,攻击者会通过图形界面(GUI)将设备配置导出到与某些托管提供商关联的外部 IP 地址。这些配置可能包含哈希处理的凭据,攻击者可以尝试离线破解,尤其是在使用了弱密码的情况下。
Fortinet 已发布针对 FortiOS、FortiWeb、FortiProxy 和 FortiSwitchManager 的补丁以修复这些缺陷。然而,注册期间默认启用 FortiCloud SSO 功能增加了攻击面。这两个漏洞的 CVSS 评分均为 9.8,表明其严重性为危急级别。该攻击无需身份验证或用户交互,使其极易被利用。该威胁破坏了设备的机密性和完整性,可能允许攻击者控制网络安全设备、操纵防火墙规则并窃取敏感配置数据。这可能导致更广泛的网络系统沦陷和攻击者获得持久访问权限。
潜在影响
对于欧洲的组织而言,影响是严重的。Fortinet FortiGate 设备在欧洲的企业、政府机构和关键基础设施领域被广泛部署,用于防火墙、VPN 和网络安全管理。成功利用漏洞可导致未经授权的管理员访问,使攻击者能够更改防火墙策略、拦截或重定向网络流量,并窃取包含哈希凭据在内的敏感配置数据。这破坏了网络边界防御,并可能促进横向移动、数据泄露和服务中断。
鉴于 FortiGate 设备在保护企业和政府网络中的关键作用,漏洞利用可能危害网络资源的机密性、完整性和可用性。该威胁对于金融、医疗和公共管理等有严格监管要求的行业尤其令人担忧。此外,如果未及时采取缓解措施,漏洞利用的简易性和攻击的活跃性增加了广泛沦陷的可能性。
缓解建议
- 立即应用 Fortinet 针对 FortiOS、FortiWeb、FortiProxy 和 FortiSwitchManager 发布的官方补丁,以修复漏洞。
- 在所有 FortiGate 设备上禁用 FortiCloud SSO 功能,直到确认已应用补丁,因为此功能是攻击媒介。
- 仅允许受信任的内部 IP 地址访问管理界面(防火墙、VPN),使用网络分段和访问控制列表。
- 监控防火墙日志中是否存在异常的 SSO 登录尝试,特别是来自与攻击中使用的已知托管提供商相关联的 IP 地址。
- 对设备配置进行全面审计,查找未经授权的导出或修改迹象。
- 如果怀疑受到入侵,请重置所有防火墙凭据和哈希值,使用能够抵抗字典攻击的强复杂密码。
- 尽可能为管理访问实施多因素认证(MFA),即使使用了 SSO。
- 教育管理员了解默认启用 FortiCloud SSO 的风险,并在设备注册期间强制执行明确的配置审查。
- 部署调整过的网络入侵检测系统(NIDS),以检测异常的 SAML 流量模式。
- 制定事件响应计划,以便在检测到入侵时快速隔离和修复受影响的设备。
受影响国家
德国、法国、英国、意大利、西班牙、荷兰、比利时、瑞典、波兰、瑞士
来源: The Hacker News 发布日期: 2025年12月16日 星期二