🚨 【資安緊急通報】Fortinet FortiCloud SSO 重大漏洞防護指南
發佈日期: 2025/12/18
等級: CRITICAL (高危險)
CVE
編號: CVE-2025-59718 / 59719
1. 發生了什麼事? (Vulnerability Overview)
Fortinet
近期爆發重大安全漏洞,核心問題在於
SAML 訊息加密簽章驗證不當。
- 風險: 遠端攻擊者可偽造 SAML 訊息,在 「無需帳號密碼」 的情況下,直接取得設備的 最高管理權限 (super_admin)。
- 後果: 駭客登入後可立即匯出配置檔案(Config),竊取雜湊密碼進行離線破解。
- 注意: 即使您未主動開啟,若曾透過 GUI 註冊 FortiCare 且未手動取消勾選,系統可能已自動開啟此功能。
2. 受影響版本與建議修補 (Fixed Versions)
請儘速檢查設備型號並透過官方路徑升級。※官方升級路徑工具
(註:FortiOS 6.4、FortiWeb 7.0/7.2 不受此漏洞影響)
|
產品線 |
受影響版本 |
✅ 建議修補版本 (及以上) |
|
FortiOS |
7.0.0
- 7.6.3 |
7.0.18+,
7.2.12+, 7.4.9+, 7.6.4+ |
|
FortiProxy |
7.0.0
- 7.6.3 |
7.0.22+,
7.2.15+, 7.4.11+, 7.6.4+ |
|
FortiWeb |
7.4.0
- 8.0.0 |
7.4.10+,
7.6.5+, 8.0.1+ |
|
FortiSwitchMgr |
7.0.0
- 7.2.6 |
7.0.6+,
7.2.7+ |
3. 緊急防禦措施 (Mitigation)
若無法立即更新韌體,請務必執行以下「關閉 SSO」指令以阻斷攻擊來源。
🔹 方法 A:CLI 指令(推薦,最快速)
請使用終端機連線至設備,並執行以下指令確認與關閉:
# 1.
檢查狀態 (若顯示 enable 代表有風險)
get system global | grep sso
# 2.
執行關閉指令
config system global
set admin-forticloud-sso-login disable
end
🔹 方法 B:GUI 圖形介面設定
- 路徑: System (系統管理) →
Settings (基本設定)
- 動作: 找到 「FortiCloud
SSO」 選項,將其切換為 關閉 (Off)。
4. 安全強化與檢測 (Hardening & Forensics)
為防止類似攻擊並確保目前環境安全,建議執行以下加固作業:
- 限制管理存取
(Trusted Host):
進入 System → Administrators,為所有管理員帳號設定「信任主機 (Trusted Host)」,僅允許特定 IP 來源登入。 - 縮小暴露面
(Interface Policy):
針對 WAN 或 IPsecVPN 等外部介面,取消勾選非必要的管理功能(如 HTTP, HTTPS, SSH)。 - 入侵檢查:
檢查 Log 是否有不明 IP (如 199.247.x.x) 的管理員登入紀錄。若發現異常,請立即重設所有管理員密碼。※參考資料:Arctic Wolf,可自己評估是否加入阻擋IP
5. 官方參考資料 (References)
為了確保資訊正確性,詳細技術細節與 IOC 情資請參閱以下官方公告:
- Fortinet
PSIRT 官方資安公告 (FG-IR-25-647)
https://www.fortiguard.com/psirt/FG-IR-25-647
- CVE
漏洞詳細資訊 (NIST NVD) https://nvd.nist.gov/vuln/detail/CVE-2025-59718
·
官方升級路徑工具 https://docs.fortinet.com/upgrade-tool
沒有留言:
張貼留言