2026-03-03 05:36:38 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档聚焦于2024至2026年间Fortinet（飞塔）产品系列暴露的严重安全危机，核心揭示了从SAML认证绕过漏洞（如CVE-2025-59718/59719）到补丁被绕过、再到AI驱动的大规模自动化攻击的演进链条。关键发现包括：漏洞允许未授权访问全球数十万台防火墙设备；已修复版本仍遭新型攻击路径突破；攻击者利用AI技术针对配置缺陷发起无漏洞利用的大规模入侵。可操作建议包括立即禁用FortiCloudSSO、强制启用多因素认证、升级至安全版本并实施网络隔离与持续监控。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,威胁情报,网络安全,解决方案

cover_image

飞塔（Fortinet）安全危机全景解析：从SSO绕过到AI驱动的全球攻击浪潮

原创

ZM ZM

暗镜

2026年2月26日 06:38 辽宁

【安全警示】当”守护者”成为”突破口”——从全球防火墙巨头的防护危机看趋势

📌 事件总览：2024-2025-2026年飞塔安全风暴时间线

近期，全球网络安全设备巨头Fortinet（飞塔）公司陷入前所未有的安全危机。从SAML认证绕过漏洞到AI驱动的自动化攻击，再到补丁失效的尴尬局面，飞塔产品线正面临持续性的安全信任考验。

⏰ 关键时间节点

| 时间 | 事件 | 严重程度 | | — | — | — | | 2025年12月9日 | Fortinet披露CVE-2025-59718/59719双漏洞 | CVSS 9.8分 | | 2025年12月12日 | 漏洞公开后仅3天即遭在野利用 | 高危 | | 2026年1月15日 | 发现新攻击路径，补丁被绕过 | 紧急 | | 2026年2月 | AI驱动的超大规模攻击爆发 | 超危 |

🚨 核心漏洞深度解析

1. CVE-2025-59718/59719：SAML认证绕过危机

漏洞本质：SAML（安全断言标记语言）数字签名验证缺陷

技术原理：

飞塔设备在启用FortiCloud SSO时，未能正确验证SAML响应中的XML数字签名
攻击者可构造伪造的”数字通行证”，无需有效凭据直接绕过身份验证
三种主要攻击手法：
✉️ 完全未签名的SAML响应注入
📦 签名包装攻击（XML Signature Wrapping）
🎭 空签名或伪造签名元素注入

影响范围：

FortiOS 7.0.0 – 7.6.3 全系列
FortiProxy、FortiSwitch Manager等多款产品
全球数十万台企业级防火墙设备

攻击后果：

攻击者在数秒内创建VPN账户
窃取完整防火墙配置文件（含网络拓扑、路由表、哈希密码）
建立后门管理员账户，实现持久化控制

2. 补丁失效危机：修复后的”二次伤害”

戏剧性转折：2026年1月，Fortinet首席信息安全官Carl Windsor承认——已打补丁的设备仍遭攻击

关键发现：

攻击者找到全新的攻击路径，绕过12月发布的补丁
受影响设备在攻击时已”完全升级到最新版本”
问题不仅限于FortiCloud SSO，而是所有SAML SSO实现的系统性缺陷

攻击特征：

攻击活动始于1月15日
高度自动化：几秒钟内完成账户创建和配置窃取
与12月攻击活动高度相似，疑似同一组织所为

3. CVE-2025-25256：FortiSIEM命令注入漏洞

高危预警：CVSS评分9.8分，PoC已公开

漏洞细节：

影响phMonitor组件（TCP端口7900）
无需身份验证即可通过构造CLI请求触发
以root权限执行任意命令

战略风险：

“一旦FortiSIEM被控制，相当于攻击者获得了整个安全监控体系的’操作权’，可以关闭安全监控、篡改日志记录，甚至作为跳板进一步渗透内网。”

🌐 AI驱动的攻击新浪潮：2026年2月全球事件

最新威胁：Amazon威胁情报团队揭露，俄罗斯黑客组织利用生成式AI发动大规模攻击

攻击规模：

📍 55个国家
🖥️ 600+台FortiGate设备被入侵
⏱️ 攻击时间：2026年1月11日至2月18日

AI赋能的攻击特征：

攻击者未利用任何漏洞，而是针对配置缺陷
瞄准暴露的管理端口+弱密码+未启用MFA的设备
攻击路径：FortiGate → AD环境 → Veeam备份 → 勒索软件

安全警示：

“小型黑客组织滥用AI服务，能够达到过往需要大型团队与较高技术的攻击能力” —— Amazon威胁情报团队

🎯 深度分析：为何飞塔成为”众矢之的”？

1. 市场份额与攻击价值的悖论

作为全球防火墙市场占有率第一的品牌，飞塔设备成为APT组织和勒索软件团伙的高价值目标。攻击一个FortiGate，意味着：

获得企业网络边界的完全控制权
窃取VPN配置实现长期潜伏
作为跳板横向移动至核心资产

2. SAML实现的系统性风险

飞塔的SAML漏洞并非孤例，而是协议实现的系统性问题：

签名验证逻辑违反SAML 2.0规范
XML解析器安全配置不当
缺乏对断言内容的严格校验

3. 补丁管理的信任危机

补丁被绕过的事件暴露出：

漏洞修复的不彻底性
安全测试的覆盖盲区
应急响应的滞后性

🛡️ 防御建议与应急措施

🚨 立即行动（0-24小时）

禁用FortiCloud SSO：在所有受影响设备上关闭SAML单点登录功能
审计登录日志：检查最近30天的管理员登录记录，寻找异常
限制管理接口：确保管理界面不暴露于公网，仅允许特定IP访问

⚡ 短期措施（1-7天）

升级至最新版本：关注官方安全公告，及时应用补丁
启用MFA：为所有管理员账户强制启用多因素认证
部署检测规则：在SIEM中配置SAML异常检测和IDS规则

🏗️ 长期策略

纵深防御：不依赖单一安全设备，建立分层防护体系
零信任架构：对网络设备管理实施”永不信任，始终验证”
供应链安全：评估安全设备供应商的整体安全成熟度

💡 行业反思：当安全厂商成为”不安全因素”

飞塔事件给整个网络安全行业敲响警钟：

对厂商的启示：

安全产品的代码审计和渗透测试必须更加严格
漏洞响应机制需要更快的速度和更高的透明度
补丁发布前需进行更全面的回归测试

对用户的建议：

不要迷信任何”安全堡垒”，包括主流安全厂商的产品
建立独立的安全监控能力，不依赖单一供应商
定期进行攻防演练和配置审计

📢 结语

飞塔的安全危机并非偶然，而是复杂网络攻击生态与产品安全债务共同作用的结果。在AI赋能攻击者的新时代，安全厂商需要以更高的标准要求自己，而企业用户也必须认识到：没有绝对的安全，只有持续的对抗。

安全是一个过程，而非产品。 —— Bruce Schneier

参考来源：: iThome 資安日報 – 駭客濫用AI對Fortinet防火牆發動大規模攻擊: 腾讯新闻 – Fortinet承认FortiGate SSO漏洞仍可被利用: Information Security 資安人 – Fortinet FortiGate雙漏洞公開僅三天即遭攻擊: 360漏洞研究院 – Fortinet FortiSIEM命令注入漏洞技术分析: FreeBuf – CVE-2025-59718安全漏洞研究报告

本文仅供安全研究与防御参考，请勿用于非法目的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《飞塔（Fortinet）安全危机全景解析：从SSO绕过到AI驱动的全球攻击浪潮》