【安全资讯】黑客利用漏洞入侵Fortinet防火墙设备并窃取配置数据

概要：

近期，网络安全公司Arctic Wolf披露，黑客正针对Fortinet FortiGate防火墙设备发起自动化攻击，通过利用单点登录（SSO）功能中的未知漏洞，快速创建具有VPN访问权限的账户并窃取防火墙配置数据。这一事件凸显了关键网络基础设施面临的持续威胁，尤其是当安全补丁未能完全修复已知漏洞时，攻击者可能绕过防护措施，对企业网络造成严重破坏。

主要内容：

攻击活动始于2026年1月15日，黑客利用FortiGate设备单点登录（SSO）功能中的一个未知漏洞，在几秒钟内创建具有VPN访问权限的账户并导出防火墙配置。这表明攻击过程高度自动化，旨在快速渗透目标网络。

此次攻击与Arctic Wolf在2025年12月记录的事件高度相似，当时攻击者利用了Fortinet产品中的关键身份验证绕过漏洞（CVE-2025-59718）。该漏洞允许未经身份验证的攻击者通过恶意构造的SAML消息，在启用FortiCloud SSO功能的易受攻击的FortiGate防火墙上绕过SSO身份验证。

尽管初始访问细节尚未完全确认，但当前活动与之前的攻击模式一致。值得注意的是，即使设备已安装针对CVE-2025-59718的补丁（FortiOS 7.4.9），攻击者仍可能利用补丁绕过技术入侵已修补的防火墙。Fortinet据称已确认最新版本（7.4.10）并未完全解决该身份验证绕过缺陷。

为应对威胁，管理员可暂时禁用易受攻击的FortiCloud登录功能，或通过命令行界面关闭相关设置。互联网安全监督机构Shadowserver目前追踪到近11,000台在线暴露且启用了FortiCloud SSO的Fortinet设备。美国网络安全和基础设施安全局（CISA）已将CVE-2025-59718列入其漏洞目录，并命令联邦机构在一周内完成修补。