在管理員開始報告他們完全打好補丁的防火牆遭到駭客攻擊幾天後，Fortinet 證實，它正在努力徹底解決一個嚴重的 FortiCloud SSO 身份驗證繞過漏洞，該漏洞本應在 12 月初就已修復。

先前，Fortinet 的客戶報告稱，威脅行為者利用 CVE-2025-59718 漏洞的修補程式繞過來入侵已完全打好修補程式的防火牆。

網路安全公司Arctic Wolf週三表示，這次攻擊活動始於1月15日，攻擊者創建具有VPN存取權限的帳戶，並在幾秒鐘內竊取防火牆配置，攻擊過程看似自動化。該公司還補充說，這些攻擊與去年12月Fortinet產品中CVE-2025-59718嚴重漏洞揭露後記錄的事件非常相似。

週四，Fortinet 終於證實了這些報導，並表示正在進行的 CVE-2025-59718 攻擊與 12 月的惡意活動相符，目前該公司正在努力徹底修復該漏洞。受影響的 Fortinet 客戶還分享了日誌，顯示攻擊者在透過 IP 位址 104.28.244.114 上的 cloud-init@mail.io 進行 SSO 登入後創建了管理員用戶，這與 Arctic Wolf 在分析正在進行的 FortiGate 攻擊和 12 月份的實際攻擊時檢測到的入侵指標相符，也與 Fortinet 分享的實際攻擊時檢測到的指標相符。

Fortinet產品安全團隊已發現此問題，該公司正在努力修復。待修復方案和時間表確定後，我們將發布安全公告。需要注意的是，雖然目前僅發現FortiCloud SSO有漏洞，但此問題可能會影響所有SAML SSO實作。

在 Fortinet 完全解決 CVE-2025-59718 漏洞之前，Windsor 建議客戶透過應用本地策略來限制透過 Internet 對其邊緣網路設備的管理訪問，該策略限制了可以存取設備管理介面的 IP 位址。管理員還應在其 Fortinet 設備上停用 FortiCloud SSO 功能，方法是進入系統 -> 設定 -> 開關，然後關閉「允許使用 FortiCloud SSO 進行管理員登入」選項。

資料來源：https://www.bleepingcomputer.com/news/security/fortinet-confirms-critical-forticloud-auth-bypass-not-fully-patched/