【安全资讯】超2.5万台FortiCloud SSO设备暴露于远程攻击风险之下

概要：

网络安全态势持续严峻，Fortinet设备曝出关键身份验证绕过漏洞，正被威胁行为体积极利用。互联网安全监测机构Shadowserver发现，全球有超过25,000台启用FortiCloud SSO功能的Fortinet设备暴露在互联网上，使其面临远程攻击风险。美国网络安全和基础设施安全局（CISA）已将此漏洞列入其积极利用漏洞目录，并命令联邦机构限期修复。

主要内容：

此次事件的核心是编号为CVE-2025-59718和CVE-2025-59719的关键身份验证绕过漏洞。攻击者通过构造恶意的SAML消息，利用该漏洞绕过身份验证，从而获得对设备Web管理界面的管理员级别访问权限。成功入侵后，攻击者可以下载系统配置文件，这些文件包含了网络布局、防火墙策略、哈希密码以及暴露在互联网上的潜在脆弱服务接口等敏感信息，为进一步的网络渗透和数据窃取铺平道路。

根据Shadowserver的报告，暴露的设备IP地址超过25,000个，其中美国占5,400多个，印度近2,000个。Macnica公司的威胁研究人员扫描结果甚至显示超过30,000台设备处于风险中。CISA已发布指令，要求美国联邦政府机构必须在12月23日前完成修补，凸显了此漏洞的严重性和紧迫性。

Fortinet的安全漏洞历来是高级持续性威胁（APT）组织、网络犯罪团伙和勒索软件运营者的重点攻击目标，常被作为零日漏洞利用。历史案例表明，例如Volt Typhoon组织就曾利用FortiOS SSL VPN漏洞入侵军事网络并部署定制化远程访问木马（RAT）。此次FortiCloud SSO漏洞的广泛暴露和迅速被利用，再次警示企业需及时更新补丁并加强暴露面的管理。