FortiGate防火墙正遭受静默攻击,攻击者已找到绕过单点登录(SSO)保护的方法,能够直接从设备中窃取敏感配置信息。
根据网络安全公司Arctic Wolf发布的安全警告,自1月15日开始,该公司发现了一波针对Fortinet FortiGate设备的自动化恶意攻击活动。攻击者通过已被入侵的SSO账户,能够修改防火墙设置、创建后门管理员用户,并窃取配置文件。
Arctic Wolf表示,攻击者的行为非常有针对性:入侵者会创建新的管理员账户,调整VPN和防火墙规则,并导出完整的配置信息。这些配置文件通常包含敏感凭据和内部网络详细信息,实际上为攻击者提供了下一步攻击目标的路线图。
Arctic Wolf指出:"上述所有事件都在几秒钟内发生,这表明可能存在自动化攻击活动。"
虽然Arctic Wolf尚未确认新的漏洞,但这种攻击行为与已知的漏洞利用模式高度吻合。这些攻击活动源于两个关键的身份验证绕过漏洞(CVE-2025-59718和CVE-2025-59719),这些漏洞允许攻击者通过特制的SAML响应绕过SSO登录检查。Fortinet在去年12月已发布了这些漏洞的补丁,但Arctic Wolf的安全警告显示,越来越多的管理员报告称,攻击者正在利用CVE-2025-59718的补丁绕过技术,入侵那些本以为已经修复的防火墙。
在Reddit平台上,受影响的管理员表示,Fortinet私下承认FortiOS 7.4.10版本并未完全修复SSO身份验证绕过问题,尽管该问题在12月初发布的FortiOS 7.4.9版本中被标记为已修复。多名客户报告称,他们在完全更新的系统上仍然发现了入侵行为。
据报道,Fortinet现在正准备在未来几天内发布额外的更新版本——FortiOS 7.4.11、7.6.6和8.0.0——以完全解决CVE-2025-59718漏洞。
受影响客户共享的日志显示,攻击者通过来自IP地址104.28.244.114的cloud-init@mail.io账户via SSO登录,然后创建新的管理员用户。这些攻击指标与Arctic Wolf在分析当前FortiGate攻击时观察到的活动以及12月份类似的利用尝试完全匹配。
Arctic Wolf敦促各组织审核FortiGate管理员账户,检查最近的配置更改,轮换凭据,并在Fortinet下一轮修复程序发布之前密切监控SSO活动。
Q&A
Q1:FortiGate防火墙遭受的这次攻击有什么特点?
A:这次攻击具有高度自动化的特点,攻击者能在几秒钟内完成创建管理员账户、修改防火墙规则和导出配置文件等多个步骤。攻击者主要通过绕过SSO保护来入侵系统,并窃取包含敏感凭据和网络信息的配置文件。
Q2:CVE-2025-59718漏洞补丁是否有效?
A:根据管理员反馈和Arctic Wolf的报告,FortiOS 7.4.10版本并未完全修复CVE-2025-59718身份验证绕过漏洞,攻击者仍能利用补丁绕过技术入侵已更新的系统。Fortinet正准备发布新版本来彻底解决这个问题。
Q3:如何防护FortiGate设备免受此类攻击?
A:Arctic Wolf建议组织立即审核FortiGate管理员账户,检查最近的配置更改,轮换所有相关凭据,并密切监控SSO登录活动。同时应等待并及时安装Fortinet即将发布的FortiOS 7.4.11、7.6.6和8.0.0版本更新。
详解)
