文章总结： Shadowserver发现超2.5万台启用FortiCloudSSO的Fortinet设备暴露于互联网，正遭CVE-2025-59718等认证绕过漏洞攻击。攻击者利用恶意SAML消息获取管理员权限并下载配置文件。CISA已责令限期修补，建议相关用户立即更新固件或禁用受影响接口以防敏感数据泄露。 综合评分： 83 文章分类： 漏洞预警,威胁情报,网络安全

超过 25,000 台 FortiCloud SSO 设备暴露于远程攻击之下

Rhinoer

犀牛安全

2026年1月15日 00:00 北京

互联网安全监管机构 Shadowserver 发现，超过 25,000 台 Fortinet 设备因启用 FortiCloud SSO 而暴露在互联网上，目前正遭受针对关键身份验证绕过漏洞的持续攻击。

Fortinet 在 12 月 9 日修复了被追踪为 CVE-2025-59718（FortiOS、FortiProxy、FortiSwitchManager）和 CVE-2025-59719（FortiWeb）的安全漏洞时指出，存在漏洞的 FortiCloud SSO 登录功能只有在管理员向公司的 FortiCare 支持服务注册设备后才会启用。

正如网络安全公司 Arctic Wolf周一报道的那样，该漏洞目前正被积极利用，通过恶意单点登录 (SSO) 登录来入侵管理员帐户。

攻击者利用恶意构造的 SAML 消息，在存在漏洞的产品中滥用此漏洞，以获取管理员级别的 Web 管理界面访问权限并下载系统配置文件。这些敏感文件会暴露潜在的易受攻击的接口、攻击者可能破解的哈希密码、面向互联网的服务、网络布局和防火墙策略。

Shadowserver今天表示，它正在追踪超过 25,000 个具有 FortiCloud SSO 指纹的 IP 地址，其中超过 5,400 个位于美国，近 2,000 个位于印度。

然而，目前尚无信息表明有多少系统已采取措施防止利用 CVE-2025-59718/CVE-2025-59719 漏洞的攻击。

Macnica 威胁研究员 Yutaka Sejiyama 也告诉 BleepingComputer，他的扫描结果显示有超过 30,000 台 Fortinet 设备启用了 FortiCloud SSO，这也使得易受攻击的 Web 管理接口暴露在互联网上。

Sejiyama表示：“考虑到FortiOS管理界面漏洞过去被利用的频率之高，令人惊讶的是，竟然还有这么多管理界面仍然可以公开访问。”

周二，CISA将FortiCloud SSO 身份验证绕过漏洞添加到其正在被利用的漏洞目录中，并命令美国政府机构在一周内（即 12 月 23 日之前）按照约束性操作指令 22-01 的规定进行修补。

Fortinet 安全漏洞经常被网络间谍、网络犯罪或勒索软件组织利用，通常作为零日漏洞。

例如，今年 2 月，Fortinet披露，某国 Volt Typhoon 黑客组织利用 FortiOS SSL VPN 的两个漏洞（CVE-2023-27997 和 CVE-2022-42475）通过定制的 Coathanger 远程访问木马 (RAT) 恶意软件，对荷兰国防部军事网络进行后门攻击。

最近，在 11 月，Fortinet警告称，FortiWeb 的一个零日漏洞(CVE-2025-58034)正在被利用。此前一周，该公司确认已悄悄修复了另一个 FortiWeb 零日漏洞 (CVE-2025-64446) ，该漏洞曾被用于广泛的攻击。

信息来源 ：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《超过 25,000 台 FortiCloud SSO 设备暴露于远程攻击之下》