更新時間:2026/01/27 13:34:41
發佈時間:2025/12/17 17:32:33
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
本次已依 Fortinet PSIRT 最新公開資訊更新原情資,重點如下:
1. 新增攻擊活動說明: 補充說明 CVE-2025-59718 於既有修補環境下仍觀察到攻擊利用行為,原廠表示將另行發布更新版本以因應相關風險。
2. 調整修補與因應建議: 修補建議調整為優先升級至目前可用的修補版本,並搭配原廠提供的緩解措施,同時持續關注後續完整修補版本。
3. 補充緩解措施內容: 新增原廠建議的緩解作法,包含停用 FortiCloud SSO、管理介面存取控管及入侵威脅指標(IOC)檢查。
一、漏洞說明[1][2]
Fortinet近期發布安全公告,指出FortiOS、FortiWeb、FortiProxy與FortiSwitchManager的FortiCloud SSO登入機制存在兩項加密簽章驗證不當漏洞(CVE-2025-59718、CVE-2025-59719)。於FortiCloud SSO功能啟用的情況下,攻擊者可透過特製的SAML訊息繞過身分驗證機制,造成未授權存取風險。
更新攻擊活動說明:
Fortinet PSIRT近期進一步說明,CVE-2025-59718已觀察到攻擊者於既有修補環境下,仍可透過FortiCloud SSO相關弱點進行攻擊利用,並表示將另行發布更新版本以因應相關風險。
二、已揭露攻擊活動說明
1. CISA已加入漏洞利用清單[3]。
2. Arctic Wolf表示已觀察此漏洞被利用於攻擊行為。[4]
三、F-ISAC彙整Fortinet PSIRT所提供入侵威脅指標如附檔。
▶ 漏洞資訊
⌵
名稱:
CVE-2025-59718、CVE-2025-59719
描述:
使用版本:CVSS 3.1
分析分數:9.8、9.8
參考來源: Fortinet
▶ 影響平台
⌵
影響平台-系統:
FortiOS 7.6:7.6.0~7.6.3版本受影響,建議升級至7.6.4或以上版本。
FortiOS 7.4:7.4.0~7.4.8版本受影響,建議升級至7.4.9或以上版本。
FortiOS 7.2:7.2.0~7.2.11版本受影響,建議升級至7.2.12或以上版本。
FortiOS 7.0:7.0.0~7.0.17版本受影響,建議升級至7.0.18或以上版本。
FortiProxy 7.6:7.6.0~7.6.3版本受影響,建議升級至7.6.4或以上版本。
FortiProxy 7.4:7.4.0~7.4.10版本受影響,建議升級至7.4.11或以上版本。
FortiProxy 7.2:7.2.0~7.2.14版本受影響,建議升級至7.2.15或以上版本。
FortiProxy 7.0:7.0.0~7.0.21版本受影響,建議升級至7.0.22或以上版本。
FortiSwitchManager 7.2:7.2.0~7.2.6版本受影響,建議升級至7.2.7或以上版本。
FortiSwitchManager 7.0:7.0.0~7.0.5版本受影響,建議升級至7.0.6或以上版本。
FortiWeb 8.0:8.0.0版本受影響,建議升級至8.0.1或以上版本。
FortiWeb 7.6:7.6.0~7.6.4版本受影響,建議升級至7.6.5或以上版本。
FortiWeb 7.4:7.4.0~7.4.9版本受影響,建議升級至7.4.10或以上版本。
▶ 建議措施
⌵
1. 建議先行升級至目前可用的修補版本,並配合原廠提供的緩解措施;後續於官方釋出最新修補版本時,建議會員儘速依據單位內漏洞管理機制進行相關作業。
2. 建議會員可透過單位內設備觀察是否曾有對這些(可疑)IP之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。
3. 緩解措施:
(1) 建議立即停用FortiCloud SSO
(a) 停用透過FortiCloud帳號登入管理介面的功能,改採本機帳號驗證機制。
(b) 圖形介面(GUI):於System/Settings中,將Allow administrative login using FortiCloud SSO設定為Off。
(c) 指令介面(CLI):透過CLI將管理登入的FortiCloud SSO功能設定為停用(set admin-forticloud-sso-login disable)。
(2) 入侵威脅指標(IOC)檢查
(a) 阻擋已知惡意IP或殭屍網路來源的存取,並限制管理介面僅允許內部網路透過HTTPS方式連線。
▶ IoC資料欄位
⌵
| 類別 | 內容 |
|---|---|
| IPv4 | 104.28.244.115 |
| IPv4 | 104.28.212.114 |
| IPv4 | 37.1.209.19 |
| IPv4 | 217.119.139.50 |
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://www.fortiguard.com/psirt/FG-IR-25-647 | Fortinet |
| 2 | https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios | Fortinet PSIRT |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 4 | https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/ | Arctic Wolf |
情資編號:
FISAC-200-202512-0009
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞