Fortinet去年12月公布并修补了FortiCloud SSO登录漏洞，近日又被安全研究人员发现网络上再次出现滥用活动，篡改受感染FortiGate设备的配置。

自今年1月15日起，Arctic Wolf研究人员发现新一轮针对FortiGate设备的自动化恶意活动，在未经授权的情况下修改防火墙配置。

此次攻击的主要目的是创建新的通用管理员账户以实现持久访问，通过修改防火墙配置，攻击者可利用VPN连接这些账户并窃取防火墙配置信息。

攻击者利用的是Fortinet上月修补的重大身份验证绕过漏洞：CVE-2025-59718与CVE-2025-59719。这两个漏洞允许攻击者发送伪造的SAML消息，绕过单点登录（SSO）验证，从而登录设备（前提是已启用FortiCloud SSO登录功能）。两个漏洞的风险评分均为9.8，受影响产品包括FortiOS、FortiWeb、FortiProxy和FortiSwitchManager。

这两个漏洞在公布后不到一周即被利用。截至去年12月底，仍有超过2万台设备暴露在风险中。

在最新攻击中，攻击者在利用FortiCloud SSO登录后，通过图形界面下载防火墙配置，随后添加次要管理员账户以维持长期访问。上述操作步骤之间间隔仅数秒，表明可能是由自动化脚本或工具执行。

由于该事件仍在进行中，许多细节尚不明确。研究人员目前已识别出的入侵指标包括两个用于登录防火墙的恶意账户、多个连接来源IP地址（包括来自美国、欧洲及Cloudflare服务器的IP，但这些可能作为代理节点或被滥用），以及攻击者创建的后门管理员账户（如secadmin、itadmin、support等）。

研究人员建议管理员将Fortinet软件升级至最新版本，检查是否存在异常SSO登录和配置下载行为，重置受感染防火墙系统的凭证与密码，并将设备管理界面的访问权限限制在可信的内部用户范围内。

对于暂时无法修补漏洞的企业，研究人员建议管理员关闭FortiCloud SSO登录功能。