自動化FortiGate攻擊利用FortiCloud單點登錄篡改防火墻配置

網絡安全公司Arctic Wolf警告稱，出現了一個"新的自動化惡意活動集群"，涉及對Fortinet FortiGate設備進行未經授權的防火墻配置更改。

該公司表示，這項活動始于2026年1月15日，與2025年12月的一次攻擊活動具有相似性。在那次攻擊中，攻擊者通過利用CVE-2025-59718和CVE-2025-59719漏洞，對FortiGate設備的管理員賬戶進行了來自不同托管提供商的惡意單點登錄攻擊。

這兩個漏洞允許在受影響設備上啟用FortiCloud單點登錄功能時，通過精心制作的SAML消息繞過SSO登錄身份驗證，無需身份驗證即可進行攻擊。這些安全缺陷影響FortiOS、FortiWeb、FortiProxy和FortiSwitchManager。

Arctic Wolf在描述這個新興威脅集群時表示："這項活動涉及創建用于持久化的通用賬戶，修改配置以向這些賬戶授予VPN訪問權限，以及竊取防火墻配置文件。"

具體而言，攻擊者對惡意賬戶"cloud-init@mail.io"從四個不同IP地址進行惡意SSO登錄，隨后通過圖形界面將防火墻配置文件導出到相同的IP地址。源IP地址列表如下：

104.28.244[.]115

104.28.212[.]114

217.119.139[.]50

37.1.209[.]19

此外，還觀察到威脅行為者創建了輔助賬戶，如"secadmin"、"itadmin"、"support"、"backup"、"remoteadmin"和"audit"，用于維持持久化訪問。

Arctic Wolf補充說："上述所有事件都在幾秒鐘內發生，表明可能存在自動化活動。"

這一披露正值Reddit上多名用戶報告在完全修補的FortiOS設備上看到惡意SSO登錄，其中一名用戶表示"Fortinet開發團隊已確認該漏洞在7.4.10版本中仍然存在或未得到修復。"

The Hacker News已聯系Fortinet尋求評論，如果收到回復將更新這一報道。在此期間，建議禁用"admin-forticloud-sso-login"設置。

Q&A

Q1：CVE-2025-59718和CVE-2025-59719漏洞有什么危害？

A：這兩個漏洞允許攻擊者在FortiCloud單點登錄功能啟用時，通過精心制作的SAML消息繞過SSO登錄身份驗證，無需身份驗證即可進行攻擊。這些漏洞影響FortiOS、FortiWeb、FortiProxy和FortiSwitchManager等多個產品。

Q2：攻擊者通過這些漏洞主要做了什么？

A：攻擊者主要進行了三項惡意活動：創建用于持久化的通用賬戶，修改防火墻配置以向這些賬戶授予VPN訪問權限，以及竊取防火墻配置文件。他們還創建了多個輔助賬戶如"secadmin"、"itadmin"等來維持持久化訪問。

Q3：如何防范這類FortiGate攻擊？

A：目前建議的防護措施是禁用"admin-forticloud-sso-login"設置。由于有用戶報告該漏洞在FortiOS 7.4.10版本中仍然存在或未得到完全修復，用戶應密切關注官方的安全更新并及時應用補丁。