文章总结： Fortinet确认已打补丁的FortiOS7.4.9/7.4.10仍存在CVE-2025-59718认证绕过，攻击者用恶意SAML消息创建管理员账户，官方将推7.4.11等彻底修复，建议立即禁用FortiCloudSSO并关注Shadowserver追踪的万余暴露设备。 综合评分： 88 文章分类： 漏洞预警,网络安全,应急响应,安全建设,威胁情报

Fortinet管理员报告称，已打补丁的FortiGate防火墙仍遭到黑客攻击

原创

ZM ZM

暗镜

2026年1月23日 08:32 北京

飞塔 的客户发现攻击者利用先前已修复的 FortiGate 严重身份验证漏洞 (CVE-2025-59718) 的补丁绕过漏洞来入侵已打补丁的防火墙。

一位受影响的管理员表示，Fortinet 据称已确认，最新的 FortiOS 版本 (7.4.10) 并未完全解决此身份验证绕过漏洞，该漏洞本应在 12 月初 发布的 FortiOS 7.4.9 中得到修复。

据报道，Fortinet 还计划在未来几天发布 FortiOS 7.4.11、7.6.6 和 8.0.0 版本，以彻底修复该安全漏洞。

管理人员反馈：”我们的一台运行7.4.9版本（FGT60F）的FortiGate防火墙刚刚遭遇了恶意单点登录攻击。我们的安全信息和事件管理（SIEM）系统捕获到了本地管理员账户的创建过程。我做了一些研究，发现这与CVE-2025-59718漏洞下的入侵手法完全一致。但我们从12月30日就开始使用7.4.9版本了，”管理员说道。

客户提供的日志显示，管理员用户是通过 IP 地址 104.28.244.114 使用 [email protected] 的 SSO 登录创建的。这些日志与网络安全公司 Arctic Wolf在 2025 年 12 月发现的 CVE-2025-59718 漏洞利用日志类似，该公司报告称，攻击者正在通过恶意构造的 SAML 消息积极利用该漏洞来入侵管理员帐户。

“我们也观察到了同样的活动。同样运行的是 7.4.9 版本。相同的用户登录名和 IP 地址。我们创建了一个名为“helpdesk”的新系统管理员用户。我们已经向技术支持提交了工单。更新：Fortinet 开发团队已确认该漏洞仍然存在，或者在 v7.4.10 版本中尚未修复，”另一位用户补充道。

本周，BleepingComputer多次联系Fortinet询问有关这些报道的问题，但该公司尚未作出回应。

在 Fortinet 提供完全修复的 FortiOS 版本之前，建议管理员暂时禁用易受攻击的 FortiCloud 登录功能（如果已启用），以保护其系统免受攻击。

要禁用 FortiCloud 登录，您需要依次进入“系统”->“设置”，然后将“允许使用 FortiCloud SSO 进行管理员登录”切换为“关闭”。此外，您也可以通过命令行界面运行以下命令：

config system global
set admin-forticloud-sso-login disable
end

幸运的是，正如 Fortinet在其最初的公告中所解释的那样，攻击针对的 FortiCloud 单点登录 (SSO) 功能在设备未注册 FortiCare 时默认情况下未启用，这应该会减少易受攻击设备的总数。

然而，Shadowserver在12月中旬仍然发现超过25,000台启用了FortiCloud单点登录的Fortinet设备暴露在互联网上。目前，超过一半的设备已得到保护，Shadowserver正在追踪的仍有超过11,000台设备可通过互联网访问。

CISA 还将CVE-2025-59718 FortiCloud SSO 身份验证绕过漏洞添加到其正在被利用的漏洞列表中，并命令联邦机构在一周内进行修补。

黑客们现在也正在积极利用 Fortinet FortiSIEM 的一个严重漏洞，他们拥有公开可用的概念验证漏洞利用代码，这使他们能够在未打补丁的设备上获得 root 权限并执行代码。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Fortinet管理员报告称，已打补丁的FortiGate防火墙仍遭到黑客攻击》