-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
パッチ済みのFortiGateがCVE-2025-59718経由で侵害されたと管理者が報告
Help Net Security – January 21, 2026
2025年12月に開示されたFortinet製品の脆弱性CVE-2025-59718は、FortiOSの「修正済み」とされるリリースに対しても悪用できる可能性が浮上。複数のRedditユーザーが、同脆弱性を通じてパッチ済みFortiGateデバイスに対する「パッチバイパス」とみられる攻撃について報告している。
CVE-2025-59718はCVE-2025-59719とともに12月9日に開示された、デジタル署名の不適切な検証に起因する認証バイパスの脆弱性。Arctic Wolfの報告によれば、いずれの脆弱性に関しても開示のわずか3日後の12日には攻撃での悪用が始まったとされる。
関連記事:Fortinet、FortiCloud SSOログイン認証バイパスの重大な脆弱性について警告(CVE-2025-59718、CVE-2025-59719)
両脆弱性は、認証されていない攻撃者が細工されたSAMLメッセージを通じて悪用を成功させると、FortiCloud SSO(シングルサインオン)ログイン認証が有効化されている場合はこれをバイパスすることが可能になるというもので、FortiOS、FortiWeb、FortiProxy、FortiSwitchManagerが影響を受ける。FortiOSに関しては、バージョン7.6.4以降、7.4.9以降、7.2.12以降、7.0.18以降でそれぞれ修正済みである旨がFortinetのアドバイザリに記されていた。
関連記事:Fortinetが最近修正した脆弱性、攻撃で悪用される:CVE-2025-59718、CVE-2025-59719
しかし1月20日、Fortinet製品を利用するある管理者(ユーザー名:xs0apy)が、掲示板サイトRedditにCVE-2025-59718の悪用とみられる活動が観測された旨を投稿。バージョン7.4.9のFortiOSが使用されているFortiGateファイアウォールのうち、1台で悪意あるSSOログインが確認され、ローカル管理者アカウントが作成されているのも見つかったと述べた。xs0apyによれば、この挙動はCVE-2025-59718が悪用される際の挙動と一致しているものとみられるものの、該当するアプライアンスには、修正版とされる7.4.9が12月30日から適用されていたという。
この投稿に対し、2人のユーザーが同様の攻撃アクティビティを観測したと返答。このうちの1人(ユーザー名:csodes)は、同様にバージョン7.4.9のアプライアンスで同一のユーザーログイン・IPアドレスの活動がみられたこと、また、「helpdesk」というユーザー名の新たなシステム管理者アカウントが作成されていたことを共有した。
その後csodesは自身の投稿を更新し、「v7.4.10においては同脆弱性が残存しているか、修正されていない」ことをFortinetの開発者チームが認めたと報告。さらに、「開発者チームは今後リリース予定の7.4.11、7.6.6、8.0.0での修正を予定している」とも述べた。
Help Net Security紙はFortinetに対し、この件について問い合わせているものの、まだ返答は得られていないという。
一方で同じく1月20日、前述のセキュリティ企業Arctic WolfのセキュリティエンジニアであるReid Hutchins氏もX上で、「完全にパッチ済みのFortinetファイアウォールに対する侵害事例をここ24時間で複数観測した」旨を投稿。これらの侵害では、12月に開示されたCVEと似た挙動が見受けられたとも述べていた。
また別のセキュリティ企業HuntressもCVE-2025-59718およびCVE-2025-59719の進行中の悪用を観測しており、ここ30日間で、こうしたインスタンスを11件観測・検出・報告したとHelp Net Security紙に伝えている。また直近7日間で、影響を受けた顧客のうち、「完全にパッチ済みだった」と訴えている企業が1社あったという。
Fortinetからの公式な説明はまだないものの、現時点で、CVE-2025-59718の悪用を防ぐ唯一の方法は当初から推奨されているワークアラウンド(FortiCloud管理者ログインオプションの無効化)のみとみられる。なお、Shadowserverのデータによれば、1月20日時点でFortiCloud SSOを有効化しているインターネットに露出したForinet製品は11,000件以上あったとのこと。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
地政学レポート
OSINT関連レポート
ディープ&ダークウェブレポート
とは?.jpg)