Fortinet製品で認証を回避する脆弱性 企業はどう対応すべきか

FortiGateを利用している企業はどのような対応が必要なのかをすぐに確認すべきだ。

[David Jones，Cybersecurity Dive]

　Fortinetの製品「FortiGate」のアプライアンスを標的としたサイバー攻撃が見つかった。

　発見したのはArctic Wolfだ。2025年12月15日（現地時間、以下同）に同社が公開したブログによると（注1）、FortiGateのアプライアンスを標的にした侵入活動を同社の研究者が確認した。この侵入活動とは同年12月12日に確認されたもので、シングルサインオン（SSO）を突破してログインしたものだ。

Fortinet製品で認証を回避する脆弱性　企業はどう対応すべきか

　この侵入活動が確認されたのは、Fortinetが複数の製品における2件の重大な脆弱（ぜいじゃく）性を公表してから約1週間後だった（注2）。Fortinetによると、これらの認証回避の脆弱性は、同社のプロダクトセキュリティチームの2人のメンバーが発見したものだという。

　2件の脆弱性は「CVE-2025-59718」および「CVE-2025-59719」だ（注3、注4）。細工されたSAMLメッセージを使うことで、攻撃者は「FortiCloud」のSSO認証を回避できる。

　Arctic Wolfの広報担当者は『Cybersecurity Dive』に対し、「当社のマネージド検知および対応（MDR）サービスで保護しているネットワークで、悪意のあるログインが最初に検知された」と述べた。Arctic Wolfは、2025年12月10日の注意喚起を通じて、自社の顧客にこれらの脆弱性を初めて通知した。悪意のあるログインが確認されて以降、数十件の侵入を観測したという。

　研究者は現在もインシデントを調査中であり、脅威活動の背後にいる存在は判明していない。また、侵入は機会に応じて悪用したものと見られており、特定の企業を狙ったものではないという。

　Arctic Wolfの研究者はFortinetに連絡を取り、脅威活動に関する追加の技術的詳細を提供したが、Fortinetはコメントの要請に応じなかった。

　サイバーセキュリティ企業のDefusedも脅威活動を検知しており、同社のFortinet用のハニーポットに対して、これを悪用した7つの異なるIPアドレスが同年12月13日以降に確認されたと指摘している（注5）。

　Fortinetによると、FortiCloudのSSO機能は工場出荷時のデフォルト設定では有効になっていない。しかし、管理者がGUIからデバイスを登録した場合、「FortiCloud SSOを使用した管理者ログインを許可する」というトグルスイッチを無効にしない限り、設定が有効になるようだ。

　Fortinetは「アップグレードを適用するまでの間、脆弱なバージョンを使用しているユーザーはFortiCloudのログイン機能を一時的に無効化すべきだ」と呼び掛けた。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、悪用されたことが確認された脆弱性をまとめたKEVカタログに、これらの脆弱性を追加した（注6）。

KEVカタログにはどのような脆弱性が登録されるのか

　CISAは全ての脆弱性をKEVカタログに登録するのではなく、次の3条件を満たしたもののみを選んでいる。これは政府や企業に対して運用上特に危険なサイバーセキュリティリスクを素早く低減するという目的があるからだ。

（1）CVE IDが割り当て済みであること　MITRE CVEとして正式識別子が必要だ。
（2）サイバー犯罪者による悪用が確認できていること　攻撃を観測した証拠（ハニーポットやインシデント報告、脅威インテリジェンスなど）を求めており、理論的な危険性やPoCだけのものは対象外だ。
（3）明確な緩和策が存在すること　ベンダーによるパッチや設定変更などの具体策が公表済みであること。

　このため、自社で利用しているソフトウェアやサービスの一覧とKEVカタログを毎日のように比較することが脆弱性対策の第一歩になる。なぜなら発表された脆弱性のうち、悪用される比率は約1％と低いためだ（キーマンズネット編集部）

　Arctic Wolfは「悪意のある活動を検知した場合、ファイアウォールの認証情報をリセットすべきだ」とした。また、ファイアウォールの管理インタフェースへのアクセスを信頼できる内部ネットワークに限定することも推奨した。

出典：FortiGate devices targeted with malicious SSO logins（Cybersecurity Dive）
注1：Arctic Wolf Observes Malicious SSO Logins on FortiGate Devices Following Disclosure of CVE-2025-59718 and CVE-2025-59719（Arctic Wolf）
注2：Multiple Fortinet Products' FortiCloud SSO Login Authentication Bypass（FortiGuard Labs）
注3：CVE-2025-59718 Detail（NIST）
注4：CVE-2025-59719 Detail（NIST）
注5：Defused（X）
注6：CISA Adds One Known Exploited Vulnerability to Catalog（CISA）

原文へのリンク