Fortinet确认在已完全打补丁的FortiGate防火墙上仍存在FortiCloud SSO绕过漏洞

Fortinet 已正式确认，在有报道称已完全打好补丁的防火墙上出现了新的利用漏洞的活动后，该公司正在努力彻底修复 FortiCloud SSO 身份验证绕过漏洞。

Fortinet 首席信息安全官 (CISO) Carl Windsor 在周四的一篇帖子中表示：“在过去的 24 小时内，我们发现了一些案例，这些案例中的漏洞利用对象是攻击发生时已完全升级到最新版本的设备，这表明存在一条新的攻击路径。”

该活动本质上是一种绕过网络安全厂商为解决CVE-2025-59718 和 CVE-2025-59719漏洞而发布的补丁的方法。如果受影响的设备上启用了 FortiCloud SSO 功能，则攻击者可能通过精心构造的 SAML 消息绕过 SSO 登录身份验证。Fortinet 已于上个月解决了这些问题。

然而，本周早些时候有报道称，在已修复上述两个漏洞的FortiGate设备上，恶意单点登录（SSO）活动再次出现，攻击者使用管理员帐户登录。该活动与去年12月CVE-2025-59718和CVE-2025-59719漏洞披露后不久发生的事件类似。

该活动涉及创建用于持久化的通用账户，修改配置以授予这些账户 VPN 访问权限，并将防火墙配置泄露到不同的 IP 地址。已观察到攻击者使用名为“cloud-noc@mail.io”和“cloud-init@mail.io”的账户登录。

作为缓解措施，该公司敦促采取以下行动——

• 通过应用本地策略来限制边缘网络设备通过互联网的管理访问权限。
• 通过禁用“admin-forticloud-sso-login”来禁用 FortiCloud SSO 登录

Fortinet表示：“值得注意的是，虽然目前只发现FortiCloud SSO存在漏洞，但这个问题适用于所有SAML SSO实现。”