FortiGate SSO 绕过 CVE-2025-59718 被活跃攻击利用

执行摘要

Rapid7的事件响应（IR）团队已确认CVE-2025-59718正在被积极利用，这是一个在FortiGate设备中的关键不当验证加密签名漏洞，它使得单点登录（SSO）登录绕过成为可能。Fortinet在2025年12月披露了这个漏洞，并分配了一个CVSS得分9.8。根据Rapid7的调查，攻击者利用这个漏洞在易受攻击的FortiGate设备上获得了持久的管理员访问权限，然后保持低调存在以避免被检测。这一事件强调了运行未修补FortiGate固件的组织立即应用可用更新的紧迫性。

技术分析

CVE-2025-59718存在于FortiGate在SSO认证流程中处理加密签名的方式中。这个漏洞允许未经身份验证的攻击者伪造有效的认证令牌，有效地绕过登录机制并获得管理员权限，而无需有效的凭据。Rapid7的IR调查结果表明，在初次利用后，威胁行为者执行了一系列旨在建立持久性和扩大访问权限的后续利用操作。攻击者保持了低调的操作姿态，这表明他们有意识地努力避免触发警报或取证检测。虽然Rapid7的公开披露没有指明特定的威胁行为者，但行为模式与优先考虑长期访问而非立即数据外泄的高级持续性威胁（APT）团体或复杂的网络犯罪操作一致。

Fortinet在2025年12月发布了安全通告和固件补丁，解决了CVE-2025-59718。这个漏洞影响了多个FortiGate版本，Fortinet已敦促客户升级到修补过的固件版本。截至2026年4月，Rapid7的事件响应参与提供了首个确认的野外利用证据，尽管其他组织可能已经成为目标但尚未被检测到。

缓解措施与建议

运行FortiGate设备的组织应立即验证其固件版本是否符合Fortinet的通告，并在尚未部署的情况下应用最新的修补版本。防御者应审计SSO认证日志，以查找异常的管理员登录，特别是那些来自意外的IP范围或在正常工作时间之外的登录。应审查网络分段，以限制从被破坏的外围设备的水平移动。在可能的情况下，在管理员界面启用多因素认证（MFA）并监控任何未经授权的配置更改。鉴于CVSS 9.8的严重性和已确认的利用情况，Rapid7建议即使没有被入侵的证据，组织也应将此视为高优先级的补丁事件。