自动化FortiGate攻击利用FortiCloud单点登录篡改防火墙配置

网络安全公司Arctic Wolf警告称，出现了一个"新的自动化恶意活动集群"，涉及对Fortinet FortiGate设备进行未经授权的防火墙配置更改。

该公司表示，这项活动始于2026年1月15日，与2025年12月的一次攻击活动具有相似性。在那次攻击中，攻击者通过利用CVE-2025-59718和CVE-2025-59719漏洞，对FortiGate设备的管理员账户进行了来自不同托管提供商的恶意单点登录攻击。

这两个漏洞允许在受影响设备上启用FortiCloud单点登录功能时，通过精心制作的SAML消息绕过SSO登录身份验证，无需身份验证即可进行攻击。这些安全缺陷影响FortiOS、FortiWeb、FortiProxy和FortiSwitchManager。

Arctic Wolf在描述这个新兴威胁集群时表示："这项活动涉及创建用于持久化的通用账户，修改配置以向这些账户授予VPN访问权限，以及窃取防火墙配置文件。"

具体而言，攻击者对恶意账户"cloud-init@mail.io"从四个不同IP地址进行恶意SSO登录，随后通过图形界面将防火墙配置文件导出到相同的IP地址。源IP地址列表如下：

104.28.244[.]115

104.28.212[.]114

217.119.139[.]50

37.1.209[.]19

此外，还观察到威胁行为者创建了辅助账户，如"secadmin"、"itadmin"、"support"、"backup"、"remoteadmin"和"audit"，用于维持持久化访问。

Arctic Wolf补充说："上述所有事件都在几秒钟内发生，表明可能存在自动化活动。"

这一披露正值Reddit上多名用户报告在完全修补的FortiOS设备上看到恶意SSO登录，其中一名用户表示"Fortinet开发团队已确认该漏洞在7.4.10版本中仍然存在或未得到修复。"

The Hacker News已联系Fortinet寻求评论，如果收到回复将更新这一报道。在此期间，建议禁用"admin-forticloud-sso-login"设置。

Q&A

Q1：CVE-2025-59718和CVE-2025-59719漏洞有什么危害？

A：这两个漏洞允许攻击者在FortiCloud单点登录功能启用时，通过精心制作的SAML消息绕过SSO登录身份验证，无需身份验证即可进行攻击。这些漏洞影响FortiOS、FortiWeb、FortiProxy和FortiSwitchManager等多个产品。

Q2：攻击者通过这些漏洞主要做了什么？

A：攻击者主要进行了三项恶意活动：创建用于持久化的通用账户，修改防火墙配置以向这些账户授予VPN访问权限，以及窃取防火墙配置文件。他们还创建了多个辅助账户如"secadmin"、"itadmin"等来维持持久化访问。

Q3：如何防范这类FortiGate攻击？

A：目前建议的防护措施是禁用"admin-forticloud-sso-login"设置。由于有用户报告该漏洞在FortiOS 7.4.10版本中仍然存在或未得到完全修复，用户应密切关注官方的安全更新并及时应用补丁。