對許多企業來說,「漏洞已修補」往往意味著風險已解除。
但近期多起 Fortinet FortiGate 防火牆遭入侵的實際案例,正在動搖這個資安世界裡最基本、也最危險的假設。
修補後仍遭攻擊,CVE-2025-59718 並未真正落幕
自 2025 年底 Fortinet 修補關鍵驗證繞過漏洞 CVE-2025-59718 以來,原本預期風暴已過。然而,來自全球多位 Fortinet 管理員的回報卻顯示,即便已升級至 FortiOS 7.4.9、甚至 7.4.10,攻擊仍在發生。
多名受害管理員指出,他們在完全更新的 FortiGate 裝置上,偵測到異常的 SSO 登入行為,並且在數秒內就被建立新的本地系統管理員帳號,典型帳號名稱包含 helpdesk 等,看起來像是自動化腳本所為。
其中一名管理員表示:
「我們的 FortiGate(FGT-60F)已在 2024 年 12 月 30 日升級至 7.4.9,但 SIEM 仍偵測到透過 SSO 登入後,新管理員帳號被建立。行為模式與 CVE-2025-59718 完全一致。」
熟悉的帳號、熟悉的 IP——攻擊手法高度重疊
多起事件的日誌顯示,攻擊行為具有高度一致性:
- SSO 登入帳號:
cloud-init@mail.io - 來源 IP:
104.28.244.114 - 登入後立即建立本地系統管理員
- 隨即匯出防火牆設定檔(Firewall Config)
這些 入侵指標(IoCs),與資安公司 Arctic Wolf 在 2025 年 12 月揭露的 CVE-2025-59718 實際攻擊行為完全吻合。
差別只在於——這次發生在「已修補」的設備上。
Arctic Wolf 也在最新通告中坦言:
「目前尚無法確認,這一波攻擊是否完全被既有修補涵蓋,或是否仍存在未修補的攻擊路徑。」
Fortinet 內部確認:7.4.10 仍未完全修補
更令人警惕的是,多名客戶在與 Fortinet 技術支援單位交涉後,獲得一致回饋:
FortiOS 7.4.10 並未完全修補該驗證繞過問題。
根據目前流出的資訊,Fortinet 正計畫於短期內釋出以下版本,嘗試「完整修補」該漏洞:
- FortiOS 7.4.11
- FortiOS 7.6.6
- FortiOS 8.0.0
截至目前,Fortinet 尚未對外發布正式公開說明,也未回應媒體的多次詢問。
這不只是 FortiGate 的問題,而是「修補信任」的問題
從技術角度來看,CVE-2025-59718 的核心風險在於:
- 攻擊者可透過惡意構造的 SAML 訊息
- 在 FortiCloud SSO 啟用的情況下
- 繞過身分驗證,直接取得管理權限
一旦成功,攻擊者能做的事情遠不只新增帳號——
匯出防火牆設定、建立 VPN 帳號、橫向移動、長期潛伏,都是合理推論。
暫時性防護建議:關閉 FortiCloud SSO
在 Fortinet 提供「可驗證的完整修補」前,現階段最實際、也最有效的風險緩解措施只有一個:
立即停用 FortiCloud SSO(若已啟用)
GUI 操作路徑:
System → Settings →
關閉「Allow administrative login using FortiCloud SSO」
CLI 指令:
config system global
set admin-forticloud-sso-login disable
end
Fortinet 也曾在原始公告中指出:
若設備未註冊 FortiCare,FortiCloud SSO 預設並不啟用。
然而,事實並不樂觀。
仍有上萬台設備暴露在網際網路上
根據 Shadowserver 監測數據:
- 2025 年 12 月中旬:超過 25,000 台 Fortinet 設備啟用 FortiCloud SSO 並暴露於網際網路
- 目前仍有 約 11,000 台 可被直接存取
同時,美國 CISA 已正式將 CVE-2025-59718 列入「已被積極利用漏洞清單(KEV)」,並要求聯邦機構在一週內完成修補。
結語:這是一個「假修補」時代的真實案例
FortiGate 事件再次提醒我們:
修補 ≠ 安全
版本號 ≠ 風險解除
官方公告 ≠ 攻擊結束
對企業與資安團隊而言,現在最重要的不是「是否已更新」,
而是——是否真正理解修補範圍、實際攻擊路徑,以及風險仍存在的現實。
這起事件,值得所有依賴邊界設備與 SSO 架構的組織,重新審視自己的「信任模型」。
問題從來不只是某一家產品安不安全,
而是在攻防節奏上,攻擊者往往比修補流程更快完成布局。