文章总结： Rapid7事件响应团队披露攻击者利用CVE-2025-59718漏洞入侵FortiGate防火墙的完整攻击链，包括通过认证绕过获取管理权限、下载配置文件、创建伪装管理员账户、启用SSLVPN建立持久化，两周后使用Mimikatz等工具进行内网横向移动。报告提供关键IoC指标和防御建议，包括及时修补漏洞、审计管理账户、启用Syslog监控等可操作措施。 综合评分： 85 文章分类： 漏洞分析,应急响应,威胁情报,解决方案,恶意软件

Rapid7一线实录：CVE-2025-59718 FortiGate 防火墙入侵事件深度剖析

bitbot bitbot

Desync InfoSec

2026年4月9日 12:07 北京

Rapid7 事件响应团队近日发布了一份深度技术分析报告，详细披露了攻击者利用 CVE-2025-59718 漏洞入侵 FortiGate 防火墙设备的完整攻击链。本文从一线 IR 调查视角出发，还原了攻击者从初始访问、持久化、凭据窃取到横向移动的全过程，为安全团队提供了极具价值的检测与防御思路。

────────────────

一、CVE-2025-59718 漏洞概述

2025年12月，Fortinet 披露了 CVE-2025-59718——一个影响 FortiGate 设备的加密签名验证不当漏洞。该漏洞可被攻击者利用来绕过 SSO 单点登录认证，从而以合法管理员身份访问防火墙管理界面。CVSS 评分极高，且已被确认存在野外利用。

Rapid7 IR 团队在调查中发现，攻击者在获取初始访问权限后，采取了低调潜伏的策略——利用约两周的静默期逐步渗透内部网络，最终控制了多台防火墙并转向内部主机。这一”慢工细活”的手法给防御者提供了宝贵的响应窗口。

────────────────

二、攻击链全景还原

阶段 1：初始访问与配置窃取

攻击者首先通过外部 IP 地址 104.28.227[.]105，使用设备上已有的本地账户登录 FortiGate 管理界面。值得注意的是，未发现任何暴力破解痕迹——攻击者直接利用了 CVE-2025-59718 的认证绕过能力。

登录成功后，攻击者立即下载了 FortiGate 配置文件。配置文件堪称目标环境的”网络蓝图”，包含了网络架构、认证机制、设备关系，甚至可能包含敏感凭据。日志记录如下：

logid=”0100032095″ type=”event” subtype=”system” ui=”GUI(104.28.227[.]105)” action=”download” msg=”System config file has been downloaded”

阶段 2：持久化与账户创建

下载配置后，攻击者开始建立持久化机制。利用从 45.32.216[.]250 发起的 GUI 会话，攻击者执行了以下操作：

1. 启用 SSL VPN 组件（该环境原本未开启 VPN）
2. 创建多个管理员账户，包括 SSO 管理员、系统管理员和本地账户
3. 添加防火墙策略以允许攻击者流量
4. 修改 VPN 配置参数

⚠️ 关键发现：多个新建管理员账户关联了 openmail[.]pro 等 Namecheap 托管的邮箱域名。部分 SSO 管理员账户甚至关联了 forticloud.com 域名，伪装成合法 FortiCloud 账户。

阶段 3：凭据窃取与横向移动

在建立持久化后约两周，攻击者通过新创建的 SSL VPN 账户从 FortiGate 设备的 DHCP 地址段发起内部连接。这一细节成为调查的关键转折点——调查人员发现一个内部 IP 不属于已知网段范围，且该环境从未启用过 SSL VPN。

进入内网后，攻击者的行动包括：

• 使用 Mimikatz 从本地系统和 Windows 注册表凭据存储中提取敏感凭据 • 通过 SMB 协议进行文件抓取和网络共享访问 • 使用 Advanced IP Scanner 对内部 IP 进行端口扫描 • 利用 PsExec 和 RDP 进行横向移动 • 重点瞄准虚拟化平台、域控制器和备份基础设施

────────────────

三、MITRE ATT&CK 技术映射

| | | | | — | — | — | | 战术 | 技术 | 详情 | | Initial Access | T1190 | 利用 CVE-2025-59718 攻击 FortiGate | | Persistence | T1136 / T1078 | 创建本地账户 + 使用合法账户认证 | | Defense Evasion | T1562 | 添加防火墙规则允许攻击流量 | | Credential Access | T1003 | Mimikatz 凭据转储 | | Lateral Movement | T1021 / T1569.002 | RDP + PsExec 远程服务执行 |

────────────────

四、IoC 情报指标

| | | | | — | — | — | | 类型 | 值 | 说明 | | 恶意 IP | 23.163.8[.]21 | 攻击者源 IP | | 恶意 IP | 45.32.216[.]250 | FortiGate 配置变更 | | 恶意 IP | 198.98.54[.]209 | SSO 登录攻击 | | 恶意 IP | 104.28.227[.]105 | 配置文件下载 | | 恶意 IP | 185.219.157[.]127 | SSL VPN 交互 | | 恶意 IP | 185.175.59[.]238 | SSL VPN 交互 | | 恶意工具 | mimikatz.exe | 凭据转储工具 | | 恶意工具 | Advanced_IP_Scanner_2.5.4594.1.exe | 网络扫描工具 |

────────────────

五、防御建议

1. 立即修补 CVE-2025-59718 — 所有 FortiGate 设备应尽快更新至安全版本

2. 审计 FortiGate 管理账户 — 排查是否存在非预期的管理员账户，特别是关联 Namecheap 托管域名或 forticloud.com 的账户

3. 启用集中式 Syslog 监控 — 对所有边缘设备实施日志集中收集，监控配置变更和异常认证

4. 限制管理界面暴露 — FortiGate 管理界面不应直接暴露在公网，应通过 VPN 或跳板机访问

5. 监控配置文件下载行为 — 任何通过外部 IP 下载设备配置的行为都应触发告警

Rapid7 InsightIDR 和 MDR 客户已可获得以下检测规则： • Potential Exploitation – FortiGate Admin SSO Login and Config Download via External IP • Exfiltration – FortiGate Config Downloaded Using GUI via External IP • Suspicious Authentication – FortiGate SSO Login via External IP

────────────────

来源：Rapid7 – FortiGate CVE-2025-59718 Exploitation: Incident Response Findings 编译：比特波特 ⚡ | 原文发布于 2026年4月

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《Rapid7一线实录：CVE-2025-59718 FortiGate 防火墙入侵事件深度剖析》