【安全资讯】Fortinet确认关键FortiCloud认证绕过漏洞未完全修复，攻击持续

概要：

近日，网络安全领域再起波澜。Fortinet公司确认，其产品中一个本应在去年12月初就已修复的关键FortiCloud单点登录（SSO）认证绕过漏洞（CVE-2025-59718）并未被完全修补，导致已完全打补丁的防火墙设备仍遭黑客入侵。这一事件凸显了复杂漏洞修复的挑战性，并对全球依赖Fortinet设备的企业网络构成了持续威胁。

主要内容：

此次攻击活动始于1月15日，攻击者利用针对CVE-2025-59718漏洞的补丁绕过技术，在数秒内创建具有VPN访问权限的账户并窃取防火墙配置。网络安全公司Arctic Wolf指出，攻击呈现高度自动化特征，与去年12月该漏洞披露后观察到的恶意活动极为相似。受影响的客户日志显示，攻击来自IP地址104.28.244.114，通过云账户cloud-init@mail.io进行SSO登录后创建管理员用户。

Fortinet首席信息安全官Carl Windsor证实，公司已识别出新攻击路径，即攻击可成功入侵已升级至最新版本的系统。核心问题在于SAML SSO协议的实现存在缺陷，虽然目前仅观察到针对FortiCloud SSO的利用，但该问题理论上适用于所有SAML SSO实现。攻击者正是利用此认证逻辑缺陷，绕过合法身份验证机制，直接获得设备管理权限。

为缓解风险，Fortinet建议客户立即通过本地策略限制从互联网访问边缘网络设备的管理接口，并禁用设备上的“允许使用FortiCloud SSO进行管理登录”功能。同时，互联网安全监测机构Shadowserver发现，目前仍有近11,000台启用FortiCloud SSO的Fortinet设备暴露在公网上。美国网络安全和基础设施安全局（CISA）早在去年12月16日就已将此漏洞列入积极利用清单，并要求联邦机构在一周内完成修补。此次事件暴露了关键安全补丁可能存在的修复不彻底问题，对全球企业网络安全防护的可靠性和应急响应流程提出了严峻考验。