文章总结： Fortinet于2025年12月9日修复了两个严重的FortiCloudSSO身份验证绕过漏洞CVE-2025-59718和CVE-2025-59719，但仅三天后攻击者就开始在真实环境中利用这些漏洞。超过25000台启用FortiCloudSSO的Fortinet设备暴露在互联网上，攻击者无需凭据即可获得管理员权限并下载系统配置文件。这些配置文件可能包含网络拓扑、防火墙策略和管理凭据等敏感信息，带来严重安全风险。美国CISA已要求政府机构在12月23日前完成修补，无法立即升级的组织应暂时关闭FortiCloudSSO功能并限制管理接口访问。 综合评分： 92 文章分类： 漏洞预警,漏洞分析,网络安全,应急响应,威胁情报

超过25,000台FortiCloud SSO设备暴露于远程攻击之下-Fortinet身份验证绕过漏洞被现实攻击利用

原创

网空闲话

网空闲话plus

2025年12月20日 08:06 北京

2025年12月中旬，一组涉及Fortinet核心产品线的严重身份验证绕过漏洞，迅速从厂商安全公告演变为一场正在进行的大规模现实攻击事件。根据互联网安全监测机构Shadowserver、网络安全公司Arctic Wolf以及Fortinet官方披露的信息，至少25,000台启用了FortiCloud单点登录（SSO）的Fortinet设备当前暴露在互联网上，并已成为攻击者主动利用的目标。这一数字并非风险评估推算，而是基于真实扫描指纹、攻击日志与入侵行为得出的结论。

一、漏洞披露与被利用时间线高度重合

Fortinet于2025年12月9日发布安全公告，修复了两个被追踪为CVE-2025-59718和CVE-2025-59719的严重漏洞。其中，CVE-2025-59718影响FortiOS、FortiProxy和FortiSwitchManager，CVE-2025-59719则影响FortiWeb。这两个漏洞均属于FortiCloud SSO身份验证绕过问题，根源在于对SAML消息中加密签名验证不当。

仅三天后，Arctic Wolf于12月12日开始在真实客户环境中观察到涉及FortiGate设备的恶意SSO登录行为。到12月15日，Arctic Wolf已发布正式安全公告，确认攻击者正在利用上述漏洞非法访问管理员账户并导出系统配置文件。这种几乎“同步发生”的披露与利用，再次表明Fortinet相关漏洞在地下攻击生态中具备极高的响应优先级。

二、SSO机制被绕过：无需凭据的管理员级访问

从技术层面看，这次事件的危险性并不在于漏洞复杂，而在于其破坏的是身份认证这一最基础的安全边界。攻击者通过构造恶意SAML断言，即可绕过FortiCloud SSO的身份验证流程，在无需任何有效用户名或密码的情况下，直接以管理员身份登录Web管理界面。

参考材料明确指出，这种攻击仅在启用了FortiCloud SSO功能的情况下成立。Fortinet强调，该功能在出厂默认状态下是关闭的。然而，现实部署环境中存在一个关键细节：当管理员通过FortiCare图形用户界面注册设备时，如果未在注册过程中显式关闭“允许使用FortiCloud SSO进行管理员登录”选项，SSO功能将被自动启用。这一设计使得大量设备在“正常注册、合规运维”的过程中，无意中暴露了高风险的远程管理入口。

三、超过25,000台设备暴露并非极端个案

Shadowserver的扫描数据显示，其已追踪到超过25,000个具有FortiCloud SSO指纹的IP地址，其中5,400多个位于美国，近2,000个位于印度。与此同时，Macnica威胁研究员Yutaka Sejiyama向BleepingComputer披露，其独立扫描结果显示，启用FortiCloud SSO的Fortinet设备数量可能超过30,000台。

Sejiyama指出，考虑到FortiOS管理界面漏洞在过去多年中被反复、大规模利用，仍有如此数量的管理接口直接暴露在互联网上，令人“非常意外”。这一评价从侧面反映出，该问题并非个别组织的安全疏忽，而是广泛存在于现实运维环境中的结构性风险。

四、攻击行为清晰可见，并非研究性扫描

多方日志证据表明，当前活动具有明确的恶意特征。Arctic Wolf观察到，恶意SSO登录主要来自少数托管服务提供商，包括The Constant Company、BL Networks以及Kaopu Cloud HK（靠谱云香港）。在披露的示例日志中，攻击者通过SSO成功登录admin账户，并获得super_admin权限，随后使用同一源IP通过GUI界面下载系统配置文件。

配置文件下载行为尤为关键。Arctic Wolf明确指出，这类操作并不符合漏洞研究或资产测绘的常见模式，而更像是为后续攻击收集情报的前置步骤。这一判断也与Shadowserver“持续攻击正在进行中”的结论相互印证。

五、配置文件泄露带来的现实风险

系统配置文件的价值远高于普通运行日志。根据Arctic Wolf的分析，这些文件可能暴露网络拓扑结构、面向互联网的服务、防火墙与路由策略、潜在的易受攻击接口，以及以哈希形式存储的管理凭据。即便这些凭据未以明文形式存在，威胁行为者仍可能通过离线方式对弱口令哈希进行破解。

因此，一旦确认配置文件被导出，就应假定相关管理凭据已经泄露。这也是Arctic Wolf反复强调“立即重置防火墙凭据”的原因所在。

六、Fortinet再次成为高价值攻击目标

Fortinet产品在近年多次成为高强度攻击目标的背景。2025年2月，Fortinet披露，某Typhoon组织曾利用FortiOS SSL VPN漏洞（CVE-2023-27997和CVE-2022-42475），对荷兰国防部军事网络部署定制化Coathanger远程访问木马。2025年11月，FortiWeb又连续曝出正在被利用的零日漏洞（CVE-2025-58034和CVE-2025-64446）。

在这一背景下，当前SSO身份验证绕过漏洞被迅速武器化，并不令人意外，而更像是既有攻击趋势的延续。

七、官方响应与现实压力

鉴于漏洞已被确认在野利用，美国CISA已将CVE-2025-59718和CVE-2025-59719纳入“已被利用漏洞目录”，并要求美国政府机构在12月23日之前完成修补。Fortinet与Arctic Wolf均建议，无法立即升级的组织应暂时关闭FortiCloud SSO功能，并将管理接口访问限制在受信任的内部网络范围内。

另据2025年12月19日暗网监测发现】威胁行为者“personX”在Exploit.Biz论坛发帖，宣称正在出售690个有效的FortiGate FortiSSL VPN访问凭证。这些凭证据称可直接接入部署于英国、奥地利、新加坡、日本、韩国、阿联酋、意大利、巴西、瑞士、法国、西班牙、阿根廷、澳大利亚、荷兰、挪威、葡萄牙、沙特阿拉伯和加拿大等18个国家的组织内部网络。此事与FortiCloud SSO是否有关联，尚可未知。

从当前信息来看，这并非一次已经结束的安全事件，而是一场仍在进行中的攻击活动，其最终影响范围取决于全球用户对补丁与缓解措施的执行速度。

结语

“超过25,000台FortiCloud SSO设备暴露于远程攻击之下”并非一个孤立的漏洞标题，而是一场由身份信任机制缺陷、默认配置路径以及攻击自动化能力共同放大的现实安全事件。它再次提醒，当云信任链被直接引入关键网络设备的管理层面时，任何验证失误都可能迅速演变为跨地域、规模化的安全危机。在当前攻击仍未完全收敛的情况下，其警示意义仍在持续放大。

参考资源

1、https://www.bleepingcomputer.com/news/security/over-25-000-forticloud-sso-devices-exposed-to-remote-attacks/

2、https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/

3、https://www.bleepingcomputer.com/news/security/hackers-exploit-newly-patched-fortinet-auth-bypass-flaws/

4、https://dashboard.shadowserver.org/statistics/iot-devices/time-series/?date_range=7&vendor=fortinet&model=forticloud+sso&dataset=count&limit=100&group_by=geo&stacking=stacked

查看原文：《超过25,000台FortiCloud SSO设备暴露于远程攻击之下-Fortinet身份验证绕过漏洞被现实攻击利用》