上週,我們提醒企業FortiCloud SSO 驗證機制中,一個不易察覺、卻極具破壞力的安全缺口。它不吵鬧、不顯眼,甚至不像典型漏洞那樣需要複雜Exploit,卻有能力讓攻擊者直接以管理者身分登入防火牆。
當時,那還停留在「高度危險、但必須嚴肅看待」的階段。
而現在,這條側門,已經被真正推開了。
從漏洞揭露,到攻擊者正式進場
多個資安監測單位近期確認,攻擊者正大規模、持續性地利用 Fortinet 旗下設備中的兩個關鍵身分驗證漏洞,對企業防火牆發動實際入侵(in-the-wild exploitation):
- CVE-2025-59718
- CVE-2025-59719
這不是理論攻擊,而是已在真實環境中發生的事件。
Fortinet 已於 2025 年 12 月 9 日透過 PSIRT 發布官方資安公告,隨後 Arctic Wolf 進一步證實,該漏洞已被武器化利用,並緊急呼籲企業立即採取行動。
攻擊手法其實不複雜,但非常致命
攻擊流程,正好驗證了上週我們提出的警告:
- 攻擊者偽造 惡意 SAML 訊息
- 利用 CWE-347(加密簽章驗證不當) 的缺口
- 完全繞過 FortiCloud SSO 驗證流程
- 在沒有帳號、沒有密碼的情況下,
直接以 SSO 管理者身分登入 FortiGate
結果只有一個:
防火牆被完整接管。
哪些設備正暴露在風險之中?
只要啟用了 FortiCloud SSO,以下產品就可能成為目標:
- FortiOS(FortiGate)
- FortiWeb
- FortiProxy
- FortiSwitchManager
真正危險的不是功能,而是「你以為它沒開」
理論上,FortiCloud SSO 在出廠時是關閉的。
但在實務部署中,許多管理者會透過 FortiCare GUI 註冊設備。
就在這個流程裡,
「Allow administrative login using FortiCloud SSO」可能被自動啟用。
如果管理者沒有特別注意、手動關閉——
設備就會在不知不覺中,對外開放了一條管理登入的側門。
這正是為什麼這次事件特別危險:
它利用的不是錯誤設定,而是容易被忽略的預設行為。
攻擊者進來之後,第一步做了什麼?
Arctic Wolf 已觀察到明確的入侵跡象。當 SSO 被成功繞過後,攻擊者通常會:
- 偽造 SAML Assertion
- 直接登入預設 admin 帳號
- 透過 GUI 下載完整系統設定檔
這些設定檔中,包含:
- 管理帳號資訊
- 密碼雜湊
- 網路架構與安全策略
實際日誌顯示:
action=”login” status=”success” user=”admin” ui=”sso(199.247.7[.]82)”
System config file has been downloaded by user admin via GUI
這意味著什麼?攻擊者已具備進行橫向移動、持久化控制,甚至勒索軟體部署的完整條件。
修補狀態與風險判斷
Fortinet 已針對多個分支釋出修補版本,例如:
- FortiOS 7.6 → 7.6.4+
- FortiOS 7.4 → 7.4.9+
- FortiOS 7.2 → 7.2.12+
未受影響版本
FortiOS 6.4、FortiWeb 7.0、FortiWeb 7.2
能升級的,請立即升級。
不能立刻升級的,風險仍然存在。
資安專家建議的立即行動清單
- 立刻升級至官方修補版本
- 全面檢查 SSO 登入與設定檔下載紀錄
- 若有任何異常,立即重設所有管理帳密
即使只是雜湊密碼,弱密碼仍可能被離線破解
- 限制管理介面僅允許內部可信網段
- 立即停用 FortiCloud SSO 作為暫時性防護
停用方式
GUI
System → Settings → 關閉
「Allow administrative login using FortiCloud SSO」
CLI
config system global
set admin-forticloud-sso-login disable
end
結語:這不是單一漏洞,而是一個時代訊號
Arctic Wolf 強調,這不是一次性的攻擊事件,而是長期針對防火牆與邊界設備的系統性行動。
在勒索軟體與供應鏈攻擊持續升溫的現在,
防火牆本身,已經成為攻擊者眼中最有價值的入口。
真正的教訓是這一句話:
未來的入侵,不一定靠 Exploit,而是靠「成功登入」。
企業若仍把管理介面安全視為次要議題,
那下一次事件,可能就不只是設定檔被下載而已。