网络安全研究人员近期发现,一批针对 FortiGate 防火墙 的全新自动化恶意攻击活动正在活跃。自 2026 年 1 月 15 日 起,攻击者被监测到实施未经授权的配置修改、利用通用账号建立长期访问权限,并非法获取防火墙的敏感配置数据。
该活动与 2025 年 12 月 的安全事件存在明显关联。彼时,Fortinet 披露了两个关键漏洞 CVE-2025-59718 与 CVE-2025-59719,随后不久便出现了针对单点登录(SSO)机制的恶意利用行为。
Arctic Wolf 表示,当前尚无法确认攻击的最初入口,但其技术特征与此前 SSO 滥用事件高度相似。相关检测规则已启用,可向客户推送异常活动告警。同时,Fortinet 尚未明确现有补丁是否能够完全阻断此次攻击。
在 2025 年 12 月初,Fortinet 发布了安全通告 FG-IR-25-647,披露两项严重的身份验证绕过漏洞。当设备启用 FortiCloud SSO 功能时,攻击者可通过构造恶意 SAML 响应绕过身份验证流程。
| CVE 编号 | 漏洞描述 | 严重性 | 受影响产品 |
|---|---|---|---|
| CVE-2025-59718 | SAML SSO 未授权绕过 | 严重 | FortiOS、FortiWeb、FortiProxy |
| CVE-2025-59719 | SAML SSO 未授权绕过 | 严重 | FortiOS、FortiWeb、FortiSwitchManager |
漏洞公开后,Arctic Wolf 观测到管理员账号通过 SSO 登录的异常行为,紧接着发生配置文件导出及权限持久化操作。目前仍无法确认 1 月的攻击是否直接利用上述漏洞,或是其变种形式。
遥测数据显示,该攻击流程高度自动化,多个攻击阶段在极短时间内完成:
初始访问:恶意 SSO 登录请求来自特定托管服务商的 IP,常用账号为 cloud-init@mail.io
数据窃取:成功登录后,攻击者迅速通过管理界面导出系统配置文件,并回传至同一来源 IP
持久化控制:攻击者随后创建新的管理员账号以维持访问权限,常见用户名包括 secadmin、itadmin、remoteadmin
日志分析表明,登录、配置导出与账号创建几乎同时发生,进一步印证了脚本化自动攻击的特征。
建议重点关注以下可疑指标:
恶意账号:
cloud-init@mail[.]io
cloud-noc@mail[.]io
可疑源 IP:
104.28.244[.]115
104.28.212[.]114
217.119.139[.]50
37.1.209[.]19
异常管理员账号:
secadmin、itadmin、support、backup、remoteadmin、audit
Fortinet 用户应持续关注官方安全通告并尽快完成补丁升级。如发现疑似入侵行为,应立即重置所有管理凭证,因相关哈希值可能已被导出并用于离线破解。
同时,建议将管理接口仅暴露于受信任的内部网络,以降低被大规模扫描攻击的风险。作为临时缓解措施,可关闭 FortiCloud SSO 功能:
企业还应立即基于上述 IOC 排查环境,并全面审计 FortiGate 设备日志,以确认是否存在被入侵迹象。
网站资讯
渠道合作
解决方案
更多服务
