Fortinet FortiGate 雙漏洞公開僅三天即遭攻擊　駭客偽造 SAML 訊息竊取防火牆配置

Fortinet 產品近日爆發兩個重大身份驗證繞過漏洞，漏洞公開後僅三天便遭駭客積極利用。資安業者 Arctic Wolf 於 12 月 12 日觀察到攻擊者針對 FortiGate 防火牆發動惡意單一登入（SSO）攻擊，成功繞過驗證後竊取設備配置檔案。美國網路安全暨基礎設施安全局（CISA）已於 12 月 16 日將其中一個漏洞列入已知遭濫用漏洞（KEV）清單，要求於 12 月 23 日前完成修補。

漏洞揭露與攻擊時序

Fortinet 於 12 月 9 日公開 CVE-2025-59718 與 CVE-2025-59719 兩個漏洞，兩者 CVSS 評分皆高達 9.8 分，屬於重大風險等級。CVE-2025-59718 影響 FortiOS、FortiProxy 及 FortiSwitchManager，CVE-2025-59719 則影響 FortiWeb 網頁應用程式防火牆。

Arctic Wolf 指出，該公司在漏洞公開後僅三天，便於 12 月 12 日偵測到針對 FortiGate 設備的在野攻擊活動。攻擊來源 IP 位址涵蓋多家主機代管業者，包括 The Constant Company、BL Networks 及 Kaopu Cloud HK Limited，地理位置分布於德國、美國及亞洲地區。

Arctic Wolf 表示，目前攻擊活動仍處於初期階段，受影響的監控網路比例相對有限，且攻擊行為呈現機會主義（Opportunistic）特徵，尚無法歸因於特定威脅組織。

攻擊手法解析

兩個漏洞的根本原因皆源自 「SAML 訊息加密簽章驗證不當（Improper Verification of Cryptographic Signature）」。SAML（Security Assertion Markup Language，安全斷言標記語言）是一種用於實現單一登入的標準協定，可讓使用者透過一次身份驗證即可存取多個系統。其運作原理類似「數位通行證」，當身份提供者（Identity Provider）驗證使用者身份後，會發送一份經數位簽章的 SAML Assertion給服務提供者，證明該使用者已通過驗證。

此次漏洞的問題在於，當 FortiCloud SSO 功能啟用時，系統未能正確驗證 SAML 訊息的數位簽章。攻擊者可透過發送特製的 SAML 回應訊息，偽造一份假的「通行證」，欺騙系統授予未經授權的存取權限，無需有效憑證即可繞過身份驗證。

根據 Arctic Wolf 觀察，攻擊者主要鎖定管理員帳戶進行惡意 SSO 登入。成功取得管理權限後，攻擊者透過圖形化管理介面將設備配置檔案匯出至發動攻擊的同一 IP 位址。

配置檔案的外洩風險不容小覷。這些檔案可能包含網路拓撲架構、對外服務清單、防火牆政策、路由表，以及雜湊處理後的密碼。Arctic Wolf 警告，儘管密碼經過雜湊處理，威脅行為者仍可透過離線破解手法還原密碼，尤其當密碼強度不足或容易遭受字典攻擊時風險更高。

FortiCloud SSO 自動啟用成隱憂

值得注意的是，FortiCloud SSO 功能在原廠預設狀態下為關閉。然而，當管理員透過圖形化介面將設備註冊至 FortiCare 客戶支援服務時，除非手動關閉註冊頁面中的「Allow administrative login using FortiCloud SSO」選項，否則該功能將自動啟用。這項設計可能導致許多企業在不知情的情況下暴露於攻擊風險中。

Fortinet 已針對受影響產品釋出修補程式，建議企業儘速更新至以下版本：FortiOS 7.6.4、7.4.9、7.2.12、7.0.18 或更新版本；FortiProxy 7.6.4、7.4.11、7.2.15、7.0.22 或更新版本；FortiSwitchManager 7.2.7、7.0.6 或更新版本；FortiWeb 8.0.1、7.6.5、7.4.10 或更新版本。FortiOS 6.4、FortiWeb 7.0 及 FortiWeb 7.2 版本不受影響。

無法立即更新的組織，應暫時關閉 FortiCloud SSO 登入功能作為緩解措施，可透過「System → Settings → Allow administrative login using FortiCloud SSO」設定為關閉。此外，Arctic Wolf 建議將防火牆與 VPN 設備的管理介面存取權限限制於受信任的內部網路。

若發現符合此次攻擊活動特徵的入侵跡象，企業應假設儲存於外洩配置檔案中的雜湊憑證已遭洩露，並立即重設相關密碼。