Source:https://thehackernews.com/2025/12/fortinet-fortigate-under-active-attack.html
🛡 概要
Fortinet製品(FortiGateなど)のSAMLベースSSOに関する重大な認証回避脆弱性(CVE-2025-59718、CVE-2025-59719、CVSS 9.8)が公開から1週間未満で実際に悪用されています。Arctic Wolfは2025年12月12日に、FortiCloud SSOが有効な機器に対する不正なSSOログインと、その後の設定ファイルのエクスポートを観測しました。FortinetはFortiOS、FortiWeb、FortiProxy、FortiSwitchManager向けに修正を既に提供済みです。影響を受ける環境では、迅速なパッチ適用とFortiCloud SSOの一時無効化、管理インタフェースの厳格なアクセス制御が必須です。
🔍 技術詳細
本攻撃は、FortiCloud SSO機能が有効になっている場合に、細工したSAMLメッセージでSSOの認証工程をバイパスできる点を突きます。既定ではFortiCloud SSOは無効ですが、FortiCare登録の過程で自動的に有効化されることがあり、登録ページの「Allow administrative login using FortiCloud SSO」設定を明示的に無効化しない限り、SSOによる管理ログインが許可されます。Arctic Wolfの観測では、「admin」アカウントへのSSOログインが、The Constant Company llc、Bl Networks、Kaopu Cloud Hk Limitedなど一部ホスティング事業者に紐づくIPから実行され、ログイン成功後、同一IPに対してGUI経由で機器の設定(コンフィグ)がエクスポートされました。これにより、装置内部に保存された各種シークレット(多くはハッシュ化等で保護)が攻撃者の手に渡る可能性があります。ハッシュ化された資格情報はオフラインで総当り・辞書攻撃により解読され得るため、弱いパスワードや再利用された秘密は特に危険です。対象製品はFortiOS、FortiWeb、FortiProxy、FortiSwitchManagerで、いずれも修正が提供済みです。インターネットに露出した管理プレーン(Web GUI/SSO終端)が初期侵入点となるため、パッチ未適用かつSSO有効という条件の組み合わせが大きなリスク要因になります。
⚠ 影響
管理者権限の不正取得に直結し、ポリシー改変、VPN/ファイアウォール設定の改ざん、ログ消去、バックドア作成、他セグメントへの横展開の足掛かりとなります。設定ファイルの流出は、ハッシュ化されたパスワードやAPIトークン、VPN事前共有鍵、SNMPコミュニティなどの秘匿情報の二次被害(オフライン解読、なりすまし)に波及します。CVSS 9.8に相応する組織横断的な業務停止・情報漏えいリスクがあります。
🛠 対策
– 直ちにパッチ適用:FortiOS/FortiWeb/FortiProxy/FortiSwitchManagerのベンダー提供アップデートを適用。
– 一時的緩和:アップデート完了までFortiCloud SSOを無効化(登録設定の「Allow administrative login using FortiCloud SSO」をオフにする)。
– 露出削減:管理インタフェースをインターネット非公開にし、信頼済み管理ネットワーク/VPN経由に限定。到達制御(IP許可リスト)、多要素認証(適用可能範囲)を徹底。
– 秘密情報のローテーション:流出の兆候があれば、機器内に保存される全ての資格情報・鍵(ローカル管理者パスワード、APIトークン、VPN事前共有鍵、SNMPコミュニティ等)を即時更新。
– ログ保全:証跡(管理ログイン、設定エクスポート、変更履歴)の長期保全とオフボックス転送(SIEM)を実施。
📌 SOC視点
– 検知観点:短時間におけるSSO経由の管理ログイン成功、その直後の設定エクスポート操作、通常と異なるAS/Geo/IP(特に前述のホスティング事業者帯域)からのアクセスを相関検知。
– ログソース:機器の管理/監査ログ、認証(SSO/SAML)関連イベント、Web GUI操作履歴、ファイルダウンロード/エクスポート記録、ネットワークフロー。
– ハンティング:管理プレーンへの外部到達試行と直後の管理操作(ポリシー変更、管理者追加、診断・バックアップ取得)を時系列で可視化。
– 封じ込め:不審セッションの強制ログアウト、管理面の一時遮断、許可IPの緊急切替。
– フォレンジック:設定ファイルのハッシュ比較、管理者アカウントの変更履歴、証明書/鍵の取得履歴を確認。
📈 MITRE ATT&CK
– 初期アクセス(TA0001):Exploit Public-Facing Application(T1190)— インターネットに公開されたSSO終端/管理GUIに対する認証バイパス悪用。
– 防御回避/認証悪用(関連):Modify Authentication Process: SAML Tokens(T1556.003)— 細工したSAMLメッセージで正規の認証フローを迂回。
– 収集/流出(TA0010):Exfiltration Over Web Service(T1567)— 管理GUIから設定ファイルをエクスポートし外部へ取得。
🏢 組織規模別助言
– 小規模(〜50名):ベンダー手順に沿って即日アップデート。管理インタフェースはVPN内のみに限定し、既存アカウントの強制リセットを実施。外部SOC/MSPの支援を活用。
– 中規模(50〜500名):変更管理の下で段階的にパッチ展開しつつ、暫定でFortiCloud SSOを停止。SIEMで管理ログイン成功→エクスポートのチェーン検知を組む。秘密情報の棚卸しと一括ローテーション計画を策定。
– 大規模(500名以上):複数拠点の管理プレーンをゼロトラスト化(ジャンプホスト、強制MFA、許可IP)。脆弱性管理(資産とバージョンの自動追跡)を整備し、攻撃シナリオに基づく赤青演習で検知・対応を検証。
🔎 類似事例
– CVE-2022-40684(FortiOSの認証バイパス)— 管理面を狙う広範な悪用が発生。
– CVE-2020-2021(PAN-OSのSAML認証問題)— SAML実装の検証不備に起因する認証回避。
– CVE-2023-27997(FortiGate SSL-VPN)— 重要機能を介したリモート攻撃で広く悪用。
🧭 次の一手
1) 直ちに該当製品のパッチ適用とFortiCloud SSOの無効化を実施。2) 過去2〜4週間の管理ログインと設定エクスポートの有無を確認。3) 流出が疑われる場合は、管理者パスワード、APIトークン、VPN事前共有鍵、SNMP情報を網羅的にローテーション。4) FortinetのPSIRTアドバイザリとハードニングガイドを参照し、管理プレーンの露出最小化とログ転送標準を整備。5) SIEMでの相関ルール(SSO成功→短時間でエクスポート)をデプロイし、継続監視を開始。
