攻击者绕过SSO安全防护攻击FortiGate防火墙

FortiGate防火墙正遭受静默攻击，攻击者已找到绕过单点登录（SSO）保护的方法，能够直接从设备中窃取敏感配置信息。

根据网络安全公司Arctic Wolf发布的安全警告，自1月15日开始，该公司发现了一波针对Fortinet FortiGate设备的自动化恶意攻击活动。攻击者通过已被入侵的SSO账户，能够修改防火墙设置、创建后门管理员用户，并窃取配置文件。

Arctic Wolf表示，攻击者的行为非常有针对性：入侵者会创建新的管理员账户，调整VPN和防火墙规则，并导出完整的配置信息。这些配置文件通常包含敏感凭据和内部网络详细信息，实际上为攻击者提供了下一步攻击目标的路线图。

Arctic Wolf指出："上述所有事件都在几秒钟内发生，这表明可能存在自动化攻击活动。"

虽然Arctic Wolf尚未确认新的漏洞，但这种攻击行为与已知的漏洞利用模式高度吻合。这些攻击活动源于两个关键的身份验证绕过漏洞（CVE-2025-59718和CVE-2025-59719），这些漏洞允许攻击者通过特制的SAML响应绕过SSO登录检查。Fortinet在去年12月已发布了这些漏洞的补丁，但Arctic Wolf的安全警告显示，越来越多的管理员报告称，攻击者正在利用CVE-2025-59718的补丁绕过技术，入侵那些本以为已经修复的防火墙。

在Reddit平台上，受影响的管理员表示，Fortinet私下承认FortiOS 7.4.10版本并未完全修复SSO身份验证绕过问题，尽管该问题在12月初发布的FortiOS 7.4.9版本中被标记为已修复。多名客户报告称，他们在完全更新的系统上仍然发现了入侵行为。

据报道，Fortinet现在正准备在未来几天内发布额外的更新版本——FortiOS 7.4.11、7.6.6和8.0.0——以完全解决CVE-2025-59718漏洞。

受影响客户共享的日志显示，攻击者通过来自IP地址104.28.244.114的cloud-init@mail.io账户via SSO登录，然后创建新的管理员用户。这些攻击指标与Arctic Wolf在分析当前FortiGate攻击时观察到的活动以及12月份类似的利用尝试完全匹配。

Arctic Wolf敦促各组织审核FortiGate管理员账户，检查最近的配置更改，轮换凭据，并在Fortinet下一轮修复程序发布之前密切监控SSO活动。

Q&A

Q1：FortiGate防火墙遭受的这次攻击有什么特点？

A：这次攻击具有高度自动化的特点，攻击者能在几秒钟内完成创建管理员账户、修改防火墙规则和导出配置文件等多个步骤。攻击者主要通过绕过SSO保护来入侵系统，并窃取包含敏感凭据和网络信息的配置文件。

Q2：CVE-2025-59718漏洞补丁是否有效？

A：根据管理员反馈和Arctic Wolf的报告，FortiOS 7.4.10版本并未完全修复CVE-2025-59718身份验证绕过漏洞，攻击者仍能利用补丁绕过技术入侵已更新的系统。Fortinet正准备发布新版本来彻底解决这个问题。

Q3：如何防护FortiGate设备免受此类攻击？

A：Arctic Wolf建议组织立即审核FortiGate管理员账户，检查最近的配置更改，轮换所有相关凭据，并密切监控SSO登录活动。同时应等待并及时安装Fortinet即将发布的FortiOS 7.4.11、7.6.6和8.0.0版本更新。