事件通告：Fortinet 整合 FortiCloud SSO 繞過身分驗證修補未完全，官方將再盡快釋出更新軟體！

【細節描述】

Fortinet 去年12月釋出的 FortiCloud SSO (單一登入整合) 弱點修補。後續於今年1/23公告，針對 FortiCloud SSO 功能的攻擊活動持續進行中，即使設備已完整更新至最新版本，攻擊者仍能成功繞過身分驗證機制。Fortinet 表示正在開發修補程式，但尚未公布具體釋出時程。 此波攻擊實質上繞過了 Fortinet 先前針對 CVE-2025-59718 與 CVE-2025-59719 兩項重大弱點所釋出的修補程式。受影響產品包括 FortiOS、FortiWeb、FortiProxy 及 FortiSwitch Manager，攻擊者可針對已啟用 FortiCloud SSO 功能的設備，透過偽造 SAML 回應訊息繞過身分驗證。 而資安公司 Arctic Wolf 研究人員於今年1/15起，發現新一波針對FortiGate裝置的惡意活動，攻擊手法與 2024/12月的事件高度相似。攻擊者利用自動化工具，在數秒內即可完成入侵、建立具備 VPN 存取權限的帳號，並竊取防火牆配置檔案。 攻擊者藉由弱點 CVE-2025-59718，擅自以管理者帳號經由 FortiCloud SSO 登入 FortiGate，再經由 GUI 介面下載防火牆配置，接著攻擊者新增次要管理員帳號以維持持久存取。攻擊者從 cloud-init@mail.io 及 cloud-noc@mail.io 兩個帳號登入防火牆。建立的後門帳號包括secadmin、itadmin、support等 Fortinet 與 Arctic Wolf 已公布相關入侵指標（IOC），攻擊者使用的帳號包括「cloud-noc@mail.io」與「cloud-init@mail.io」，相關 IP 位址為 104.28.244.114。企業資安團隊應立即檢查設備日誌，確認是否存在上述異常登入活動。 Fortinet 在聲明中特別強調，雖然目前僅觀察到針對 FortiCloud SSO 的攻擊，但此弱點影響範圍涵蓋所有採用 SAML SSO 機制的環境。換言之採用第三方 SSO 系統的企業，同樣需要提高警覺。 根據網路安全監測組織 Shadowserver 的追蹤數據，全球目前約有近 11,000 台啟用 FortiCloud SSO 功能的 Fortinet 設備暴露於網際網路上。 HiNet SOC 建議管理者提高警覺，以降低受駭風險。 https://hisecure.hinet.net/secureinfo/hotnews.php

【建議措施】

Fortinet 官方建議的緊急緩解措施 (1) 在新修補程式釋出前，首先應透過設定 local-in policy 限制邊界網路設備的管理介面存取，僅允許來自特定內部 IP 位址的連線，阻擋來自網際網路的管理存取。 (2) 企業應停用 FortiCloud SSO 功能。管理者可進入設定，關閉「Allow administrative login using FortiCloud SSO」選項。 (Fortinet 提醒，停用 FortiCloud SSO 僅能防止透過該管道的攻擊，無法阻擋針對第三方 SSO 系統的攻擊，因此建議同時實施 local-in policy(限制本機輸入)。) (3) 若企業在檢查過程中發現任何入侵指標，Fortinet 建議應將該系統與配置視為已遭入侵。處置步驟包括：輪換所有相關憑證，包括 LDAP 與 Active Directory 帳號密碼，並使用已知乾淨的備份版本還原設備配置。 (4) 在釋出完整修補程式前，Fortinet建議用戶實行安全政策，將邊緣網路裝置管理員權限縮小到受信賴的IP位址。