關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.01.22
漏洞與風險/資安漏洞
Fortinet管理員報告稱,已打補丁的FortiGate防火牆仍遭到駭客攻擊
核心事件概述:補丁後的脆弱防線

在網路安全領域,及時部署補丁通常被視為抵禦攻擊的最有效手段。然而,近期發生的 Fortinet 身份驗證繞過事件卻打破了這一慣例。Fortinet 的客戶發現攻擊者利用先前已修復的 FortiGate 嚴重身份驗證漏洞 (CVE-2025-59718) 的補丁繞過漏洞來入侵已打補丁的防火牆。這一現象揭示了即使是國際領先的安全廠商,在面對複雜的漏洞修補邏輯時,也可能出現不完全修復的技術盲點。台灣分析認為,這種「補丁後再被破」的情況對企業資安管理信心造成了重大衝擊。


漏洞修補失能與版本演進現況

針對此次危機,一位受影響的管理員表示,Fortinet 據稱已確認,最新的 FortiOS 版本 (7.4.10) 並未完全解決此身份驗證繞過漏洞,該漏洞本應在 12 月初 發布的 FortiOS 7.4.9 中得到修復。這種修補程序的連鎖失效,意味著攻擊者找到了繞過先前防禦邏輯的新路徑。據報道,Fortinet 還計劃在未來幾天發布 FortiOS 7.4.11、7.6.6 和 8.0.0 版本,以徹底修復該安全漏洞。在這些關鍵版本發布前,所有運行 7.4.9 及 7.4.10 的設備在特定條件下仍處於高度風險之中。


惡意單點登入(SSO)攻擊之實戰案例分析

此次攻擊的技術特徵極為明顯,主要針對設備的管理權限進行非法獲取。Fortinet表示:我們的一台運行7.4.9版本(FGT60F)的FortiGate防火牆剛剛遭遇了惡意單點登入攻擊。我們的安全資訊和事件管理(SIEM)系統捕獲了本地管理員帳戶的創建過程。我做了一些研究,發現這與CVE-2025-59718漏洞下的入侵手法完全一致使用了一些研究,發現這與CVE-2025-59718漏洞下的入侵手法完全一致。

這種攻擊的危險之處在於,攻擊者利用漏洞繞過身份驗證後,能直接在系統內創建具有完全控制權的本地管理員帳號。這使得後續的惡意行為(如數據竄改、流量導向或內網滲透)在表面上看起來像是合法管理員的操作,增加了偵測與溯源的難度。


FortiCloud 功能與攻擊曝險維度

本次漏洞利用的核心在於 FortiCloud 的整合機制。幸運的是,正如 Fortinet在其最初的公告中所解釋的那樣,攻擊針對的 FortiCloud 單一登入 (SSO) 功能在裝置未註冊 FortiCare 時預設未啟用,這應該會減少易受攻擊裝置的總數。然而,功能便利性與安全性往往是雙面刃。Shadowserver在12月中旬仍然發現超過25,000台啟用了FortiCloud單一登入的Fortinet裝置暴露在網路上。目前,超過一半的裝置已受到保護,Shadowserver正在追蹤的仍有超過11,000台裝置可透過網路存取。這些數據顯示,儘管已有部分企業完成防護,但全球仍有大量基礎設施處於隨時可能被入侵的邊緣。


緊急應變策略與預防性緩解措施

在 Fortinet 提供完全修復的 FortiOS 版本之前,建議管理員暫時停用易受攻擊的 FortiCloud 登入功能(如果已啟用),以保護其系統免受攻擊。

針對此事件建議以下強化步驟:

  • 功能停用:對於目前無需使用遠端雲端管理功能的設備,應立即關閉 FortiCloud SSO 登入路徑。

  • 帳號稽核:網管人員應立即檢查 FortiGate 的本地帳號清單,搜尋是否有未經授權新建立的管理員帳號。

  • SIEM 高強度監控:調升對系統管理事件(如 Config Change、New Admin User)的警報層級,確保能第一時間捕捉到如案例所述的異常行為。

  • 版本追蹤:密切關注 FortiOS 7.4.11、7.6.6 及 8.0.0 的發布時程,並在第一時間進行離峰時段的更新部署。


軟體供應鏈安全與補丁驗證之反思

Fortinet 補丁繞過事件為全球網路安全界提供了一個深刻的教訓。單純的「打補丁」行為若缺乏嚴謹的後續驗證與紅隊測試,可能淪為一種虛假的安全感。台灣認為企業在應對此類漏洞時,應從「單一邊界防護」轉向「深度防禦」架構。當防火牆本身的身份驗證系統失效時,後端的行為監測(SIEM/EDR)與流量分析(NDR)便成為守住最後一道防線的關鍵。


構建具備韌性的企業資安架構

CVE-2025-59718 漏洞的復發,象徵著攻擊技術與漏洞挖掘已進入「深度對抗」階段。對於使用 FortiGate 的企業而言,目前的當務之急是實施手動緩解措施,並對現有設備進行全面的合規性檢查。未來,隨著更多修復版本的釋出,將持續協助企業監控風險動態,確保網路邊界的安全性與業務連續性不因補丁失效而受挫。


資料來源:https://www.bleepingcomputer.com/news/security/fortinet-admins-report-patched-fortigate-firewalls-getting-hacked/
 
探討攻擊者如何利用 CVE-2025-59718 補丁繞過漏洞入侵已更新之 FortiGate 設備,揭示 FortiCloud SSO 功能的安全風險,並為企業網管人員提供應對最新「惡意單點登入攻擊」的防禦策略與應變建議。