Fortinet 於 1 月 23 日正式證實,針對 FortiCloud 單一登入(SSO)功能的攻擊活動持續進行中,即使設備已完整更新至最新版本,攻擊者仍能成功繞過身分驗證機制。該公司表示正在開發修補程式,但尚未公布具體釋出時程。
修補程式遭繞過,攻擊者找到新路徑
Fortinet 資訊安全長(CISO)Carl Windsor 在官方聲明中指出,過去 24 小時內已確認多起案例,受害設備在遭受攻擊時已完整升級至當時的最新版本,顯示攻擊者發現了新的攻擊路徑。
此波攻擊實質上繞過了 Fortinet 先前針對
CVE-2025-59718 與 CVE-2025-59719 兩項重大漏洞所釋出的修補程式。受影響產品包括 FortiOS、FortiWeb、FortiProxy 及 FortiSwitch Manager,攻擊者可針對已啟用 FortiCloud SSO 功能的設備,透過特製 SAML 回應訊息繞過身分驗證。Fortinet 已於 2025 年 12 月初釋出修補程式。
然而,資安公司 Arctic Wolf 本週警告,自 1 月 15 日起觀察到新一波攻擊活動,攻擊手法與 2024 年 12 月的事件高度相似。攻擊者利用自動化工具,在數秒內即可完成入侵、建立具備 VPN 存取權限的帳號,並竊取防火牆配置檔案。
攻擊手法與入侵指標
根據 Arctic Wolf 與受影響用戶分享的日誌資料,
攻擊者的典型行為模式包括:透過 FortiCloud SSO 登入管理介面、建立新的管理者帳號以維持持久存取、修改設備配置授予 VPN 存取權限,以及將防火牆配置檔案外洩至外部 IP 位址。
Fortinet 與 Arctic Wolf 已公布相關入侵指標(IOC),攻擊者使用的帳號包括「cloud-noc@mail.io」與「cloud-init@mail.io」,相關 IP 位址為
104.28.244.114。企業資安團隊應立即檢查設備日誌,確認是否存在上述異常登入活動。
影響範圍擴及所有 SAML SSO 實作
Fortinet 在聲明中特別強調,雖然目前僅觀察到針對 FortiCloud SSO 的攻擊,但此漏洞影響範圍涵蓋所有採用 SAML SSO 機制的環境。這意味著採用第三方 SSO 系統的企業同樣需要提高警覺。
根據網路安全監測組織 Shadowserver 的追蹤數據,目前全球約有近 11,000 台啟用 FortiCloud SSO 功能的 Fortinet 設備暴露於網際網路上。美國網路安全暨基礎設施安全局(CISA)已於 2024 年 12 月 16 日將 CVE-2025-59718 列入已知遭利用漏洞清單。
Fortinet 建議的緊急緩解措施
在新修補程式釋出前,Fortinet 建議用戶採取以下緊急緩解措施。首先,應透過設定 local-in policy 限制邊界網路設備的管理介面存取,僅允許來自特定內部 IP 位址的連線,阻擋來自網際網路的管理存取。
其次,企業應停用 FortiCloud SSO 功能。管理者可進入「System」>「Settings」>「Switch」,關閉「Allow administrative login using FortiCloud SSO」選項。Fortinet 提醒,停用 FortiCloud SSO 僅能防止透過該管道的攻擊,無法阻擋針對第三方 SSO 系統的攻擊,因此建議同時實施 local-in policy(限制本機輸入)。
遭入侵設備的處置建議
若企業在檢查過程中發現任何入侵指標,Fortinet 建議應將該系統與配置視為已遭入侵。處置步驟包括:輪換所有相關憑證,包括 LDAP 與 Active Directory 帳號密碼,並使用已知乾淨的備份版本還原設備配置。
FortiGate 防火牆在台灣具有相當的部署量,資安團隊應立即盤點企業內部的 Fortinet 設備,確認 FortiCloud SSO 功能的啟用狀態,並依據官方建議實施緩解措施。在新修補程式釋出前,持續監控設備日誌中的異常活動至關重要。