Fortinet FortiGate SAML SSO 認證繞過漏洞被積極利用：實時攻擊分析

2025 年 12 月 12 日，Arctic Wolf Labs 報告發現 FortiGate 機型正在被利用兩個高度嚴重的 SAML SSO 旁路漏洞 (CVE-2025-59718、CVE-2025-59719)，CVSS 分數高達 9.8，攻擊者僅需偽造 SAML 訊息即可在未經授權的情況下登入管理介面，進一步取得網路設備的完整控制權。

漏洞技術細節

兩項缺陷均源於 FortiCloud SSO 處理 SAML 訊息時的簽章驗證不足，屬於 CWE-347（加密簽章驗證不當）。在 FortiOS、FortiWeb、FortiProxy 與 FortiSwitchManager 之間，當「允許使用 FortiCloud SSO 進行管理員登入」設定為啟用時，裝置會自動接受任何符合結構的 SAML 回應訊息，無論其簽章來源是否合法 (iThome)。

值得注意的是，FortiCloud SSO 於出廠時預設為關閉，但在完成 FortiCare 註冊流程時系統會自動開啟此功能，若管理員未手動關閉，裝置將瞬間暴露於攻擊風險中 (Billows)。

攻擊現況與影響

Arctic Wolf 觀測到多起攻擊事件，攻擊者利用上述漏洞在未授權的情況下取得 FortiGate 的管理權，並藉此操控其他 FortiOS 及 FortiWeb 裝置。根據報告，影響版本範圍涵蓋 7.0 至 7.6.3 版 FortiOS、7.0 至 7.6.3 版 FortiProxy、7.4 至 7.6.4 版 FortiWeb 以及 7.0 至 7.2.6 版 FortiSwitchManager (The Hacker News)。

緊急修補與緩解措施

Fortinet 已於 2025‑12‑16 發布新版 FortiOS 7.6.5 及相對應的 FortiWeb、FortiProxy、FortiSwitchManager 更新，修正簽章驗證機制並完全阻止此類 SAML 旁路。若無法即時套用更新，建議先關閉 FortiCloud SSO 功能，最有效的即時緩解方式為：

• GUI：System → Settings → 取消勾選「Allow administrative login using FortiCloud SSO」
• CLI：

config system global
set admin-forticloud-sso-login disable
end

完成上述步驟後，即可阻斷偽造 SAML 訊息的登入嘗試，並降低遠端攻擊面。

防禦建議與最佳實踐

1. 立即更新至官方提供的最新韌體版本。
2. 若必須使用 FortiCloud SSO，務必在 FortiCare 註冊完成後手動關閉該功能，或僅在受信任環境內啟用。
3. 配置多因素驗證（MFA）於管理員登入，若使用 SAML，請確保 IdP 端已啟用簽章驗證與 TLS 加密。
4. 定期檢視設備日誌，偵測是否有未授權的 SAML 登入嘗試。
5. 在防火牆與 IDS/IPS 系統中加入針對 SAML 訊息的檢查規則，阻斷可疑的 XML 簽章。

MITRE ATT&CK 對應

• T1078.004 – Valid Accounts: Cloud Accounts (利用 SAML 旁路取得合法雲端帳號)
• T1190 – Exploit Public-Facing Application (利用 FortiGate SSO 接口漏洞)

參考資料與原文來源

• Arctic Wolf Labs – FortiGate Under Active Attack Through SAML SSO (The Hacker News)
• iThome – Fortinet 為多款系統修補 FortiCloud SSO 身分驗證繞過漏洞
• Billows – Fortinet 緊急示警：FortiCloud SSO 驗證繞過重大漏洞
• Fortinet Community – Configuring SAML SSO login for FortiGate

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。