Fortinetが最近修正した脆弱性、攻撃で悪用される：CVE-2025-59718、CVE-2025-59719

佐々山 Tacos

2025.12.17

Fortinetが最近修正した脆弱性、攻撃で悪用される：CVE-2025-59718、CVE-2025-59719

SecurityWeek – December 16, 2025

Fortinetにより最近修正されたCritical評価の脆弱性CVE-2025-59718およびCVE-2025-59719が、実際の攻撃で悪用され始めているという。Arctic Wolfが警告した。

CVE-2025-59718とCVE-2025-59719（CVSSスコア 9.8）はデジタル署名が不適切に検証されることに起因する脆弱性で、FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerが影響を受ける。攻撃者が細工されたSAMLレスポンスメッセージを用いてこれを悪用すると、FortiCloud SSOログイン認証が有効化されている場合はこの認証をバイパスすることが可能になるとされている。

Fortinetはこれらの脆弱性のパッチを12月9日にリリースしたが、Arctic Wolfはそのわずか3日後の12日に、脅威アクターらがFortiGateアプライアンスにおける両脆弱性を悪用するのを観測。観測された侵入行為において、悪意あるSSOログインはadminアカウントを標的としており、不正なSSOログインに続いてGUIを通じた構成設定のエクスポートが行われていたという。

不正なログイン試行の出どころは複数のホスティングプロバイダーで、Arctic Wolfはそれぞれのプロバイダー名とIPアドレスをブログ記事の中で提供。設定ファイルのエクスポート先もこれらのIPアドレスだったと報告している。

ネットワークアプライアンスの設定ファイルに含まれる認証情報はハッシュ化されているのが一般的であるものの、脅威アクターはオフラインでハッシュ値の解析を行うことが知られている。このためArctic Wolfは、同社記事内で説明されているような悪意あるログと似たものが見つかった場合、設定ファイル内の認証情報は侵害されたものとみなして可及的速やかに認証情報のリセットを行うことを奨励。加えて、ファイアウォールの管理インターフェースへのアクセスは信頼された内部ネットワークからのもののみに制限することも推奨している。

12月16日には米CISAもCVE-2025-59718をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加。米連邦政府機関に対し、12月23日までの修正を命じた。なお今回追加されたのはCVE-2025-59718だけではあるものの、CISAは「CVE-2025-59719は同じ問題に関連しており、同じベンダーアドバイザリに記載されていることに留意してください」と記した。

両脆弱性に対するパッチは、FortiOSバージョン7.6.4・7.4.9・7.2.12・7.0.18、FortiProxyバージョン7.6.4・7.4.11・7.2.15・7.0.22、FortiSwitchManagerバージョン7.2.7・7.0.6、FortiWebバージョン8.0.1・7.6.5・7.4.10の各バージョンに含まれている。