在企业用户报告遭攻击及安全厂商披露后，Fortinet上周证实，去年12月修补的FortiCloud单点登录集成漏洞存在修复不彻底的问题，并承诺将发布新的更新软件。

自今年1月15日起，Arctic Wolf研究人员发现新一轮针对FortiGate设备的恶意活动。有不明人士利用CVE-2025-59718漏洞，以管理员账户通过FortiCloud SSO登录FortiGate，再通过图形界面下载防火墙配置，随后攻击者创建次要管理员账户以维持持久访问。攻击者从cloud-init@mail.io及cloud-noc@mail.io两个账户登录防火墙，创建的后门账户包括secadmin、itadmin、support等。由于登录行为间隔数秒，研究人员判断可能是自动化脚本或工具执行。

与此同时，部分Fortinet产品用户反映，其已安装CVE-2025-59718补丁的FortiGate设备仍遭入侵。这些设备均运行Fortinet去年12月发布的已修复CVE-2025-59718和CVE-2025-59719漏洞的FortiOS 7.4.9版本。

Fortinet指出，近期少数客户设备的异常登录行为与去年12月的问题高度相似。该公司确认，多起攻击案例发生在已更新至最新版本的设备上，判断可能存在新的攻击路径。

网络观察组织Shadowserver的监测数据显示，在漏洞披露近两个月后，全球仍有超过一万台Fortinet设备未修补该漏洞，中国大陆地区仍有99台设备处于风险中。

Fortinet产品安全团队表示已定位问题根源，正在紧急开发补丁程序。待修复范围和时间表确认后，Fortinet将发布官方安全公告。Fortinet强调，目前仅观察到FortiCloud SSO功能被滥用，但该问题可能影响所有实现SAML SSO的环境。

在完整补丁发布前，Fortinet建议用户实施安全策略，将边缘网络设备的管理员权限限制在可信IP地址范围内。由于完整补丁尚未发布，企业用户应关闭Fortinet设备上的FortiCloud SSO功能。若企业已发现上述入侵迹象，Fortinet建议立即轮换所有LDAP/AD账户凭证并重置设备配置。