【安全资讯】Fortinet确认FortiGate SSO漏洞补丁被绕过，攻击者利用新路径窃取配置

概要：

近日，网络安全厂商Fortinet确认，其于去年12月针对FortiCloud单点登录（SSO）关键认证漏洞发布的补丁已被攻击者绕过。尽管客户已为设备安装最新更新，但仍报告了可疑登录活动。这一事件凸显了复杂网络设备中认证机制的脆弱性，以及补丁管理面临的持续挑战，对依赖FortiGate防火墙保护网络边界的企业构成了严重威胁。

主要内容：

Fortinet在最新安全公告中披露，攻击者正在利用一条新的攻击路径，滥用FortiOS中基于SAML的SSO认证机制，即使在已应用先前修复补丁的系统上也不例外。此次攻击活动始于1月15日左右，攻击者能够快速创建启用VPN的账户，并在数秒内窃取防火墙配置文件，其自动化特征明显。

攻击的核心在于利用了SAML SSO实现中的一个底层弱点。尽管目前仅观察到针对FortiCloud SSO的利用，但Fortinet首席信息安全官Carl Windsor警告，该问题适用于所有SAML SSO实现。攻击者通过此漏洞，悄无声息地重新配置防火墙、创建后门管理员账户并外泄配置文件。

安全公司Arctic Wolf指出，此次攻击行为与去年12月Fortinet披露原漏洞后观察到的事件高度相似，表明攻击者持续改进其利用技术。Fortinet表示正在调查新的攻击路径并开发修复程序，同时建议客户审查认证日志、限制管理界面暴露并密切监控管理员账户变更。

此次事件的影响范围可能相当广泛，因为SAML SSO是许多企业身份验证的基石。在官方修复发布前，客户只能加强监控并等待有效补丁，以防止关键网络配置被盗和未授权访问。