2025年12月,网络安全圈突发紧急预警:Fortinet旗下FortiGate等核心安全设备曝出两个高危SSO(单点登录)漏洞(CVE-2025-59718/CVE-2025-59719),CVSS评分高达9.8分,属于顶级风险漏洞。该漏洞自12月9日公开披露后,仅3天就被黑客纳入野外攻击武器库,攻击者无需任何合法凭证,即可通过构造恶意SAML消息绕过认证,直接获取设备管理员权限,对全球企业网络安全构成致命威胁。
漏洞技术深析:SAML签名验证失效的致命漏洞
此次漏洞的核心症结在于FortiCloud SSO功能的SAML协议处理机制存在设计缺陷,本质是加密签名验证流程的双重失效。
- SAML协议的正常认证逻辑是FortiGate设备作为服务提供商(SP),需通过验证身份提供商(IdP)下发的SAML消息加密签名,确认管理员身份合法性后才允许登录。而这两个漏洞分别导致设备要么直接跳过签名验证步骤,要么错误信任未携带有效签名的SAML消息,相当于为攻击者敞开了“无密码登录”的大门。
- 漏洞触发条件极具隐蔽性:FortiCloud SSO虽默认出厂关闭,但管理员通过FortiCare界面注册设备时会自动启用,且注册页面未默认勾选“禁用SSO登录”选项,导致大量用户在不知情中暴露风险。更值得警惕的是,该漏洞与2020年SolarWinds攻击事件中的核心漏洞(同样源于SAML协议验证缺陷)原理高度相似,均属于“认证机制根基性失效”类漏洞,修复难度大、影响范围广。
攻击态势升级:从批量入侵到深度渗透的黑色产业链
北极狼实验室及多家安全厂商监测显示,当前野外攻击已呈现“规模化、精准化、连锁化”特征,攻击者的目标绝非临时控制权,而是构建长期渗透通道。
- 攻击源与目标明确:攻击流量主要来自恒公司有限责任公司、开普云香港有限公司等服务商的特定IP段,目标直指全球启用FortiCloud SSO的FortiGate设备,尤其聚焦“admin”等默认管理员账号,攻击行为具有明显的自动化脚本特征。
- 攻击流程闭环化:成功登录后,攻击者会第一时间通过图形界面导出系统配置文件,该文件包含VPN用户哈希凭证、本地账户密码哈希、网络拓扑等核心敏感信息。后续可通过离线破解获取明文凭证,进而横向渗透企业内部网络,植入后门程序或窃取商业机密。
- 关联漏洞风险叠加:Fortinet在修复此次漏洞时同步披露,还存在未验证密码修改(CVE-2025-59808)和哈希身份认证(CVE-2025-64471)两个高危漏洞,攻击者可能组合利用多个漏洞,进一步降低攻击门槛、提升攻击成功率。
受影响范围:覆盖多产品线,关键行业风险突出
此次漏洞并非仅影响FortiGate设备,而是波及Fortinet四大核心产品线,覆盖防火墙、代理服务器、Web应用防火墙、交换机管理系统等关键网络设备,受影响版本跨度极大,几乎涵盖近年主流部署版本。
| 产品 | 受影响版本 | 修复版本 | 重点受影响行业 |
|---|---|---|---|
| FortiOS(FortiGate) | 7.0.0-7.0.17、7.2.0-7.2.11、7.4.0-7.4.8、7.6.0-7.6.3 | 7.0.18+、7.2.12+、7.4.9+、7.6.4+ | 政府、金融、能源、制造业 |
| FortiProxy | 7.0.0-7.0.21、7.2.0-7.2.14、7.4.0-7.4.10、7.6.0-7.6.3 | 7.0.22+、7.2.15+、7.4.11+、7.6.4+ | 互联网、企业办公网 |
| FortiWeb | 7.4.0-7.4.9、7.6.0-7.6.4、8.0.0 | 7.4.10+、7.6.5+、8.0.1+ | 电商、金融、政务网站 |
| FortiSwitch Manager | 7.0.0-7.0.5、7.2.0-7.2.6 | 7.0.6+、7.2.7+ | 数据中心、企业园区网络 |
从行业分布来看,依赖Fortinet设备构建网络边界的政府机构、金融机构、能源企业等成为攻击重灾区,这类机构的网络设备一旦被控制,可能引发数据泄露、业务中断甚至国家安全层面的风险。
多维防护体系:紧急处置与长期安全策略
面对已大规模爆发的野外攻击,企业需采取“紧急止血+全面加固+长期优化”的三层防护策略,避免成为下一个攻击目标。
紧急处置措施(24小时内必须完成)
- 优先关闭FortiCloud SSO功能:无法立即升级补丁的用户,通过CLI执行三条指令
config system global→set admin-forticloud-sso-login disable→end,或在GUI界面进入“系统→设置”,关闭“允许管理员通过FortiCloud SSO登录”开关。 - 限制管理接口访问权限:通过防火墙策略收紧SSH、HTTPS管理端口,仅开放给可信IP段或内部终端,禁止公网直接访问设备管理接口。
- 紧急排查入侵痕迹:检查设备日志中是否存在异常SSO登录记录、配置文件导出操作,重点关注来源不明的IP地址登录行为,发现异常立即重置所有管理员及VPN用户凭证。
全面加固方案(72小时内完成)
- 强制升级至修复版本:根据所属产品线,尽快升级到官方指定的修复版本,升级前需备份设备配置,避免业务中断。
- 启用IPS特征库拦截攻击:在FortiGate/FortiWeb中启用最新入侵防御(IPS)特征库,针对SAML协议异常消息配置拦截规则,阻断恶意攻击流量。
- 补充多因素认证(MFA):为所有管理员账号启用硬件令牌(如YubiKey)或动态令牌(如Google Authenticator)认证,即使SSO功能被绕过,仍能形成第二道安全屏障。
长期安全优化(持续推进)
- 建立SSO安全审计机制:定期检查SAML协议配置,确保签名验证、消息加密等核心功能启用,避免因简化配置引入安全风险。
- 实施权限最小化原则:删除默认“admin”账号或修改账号名称,为管理员分配细分权限,避免全权限账号泄露导致的全域风险。
- 构建漏洞应急响应流程:针对Fortinet设备频繁曝出零日漏洞的现状,建立厂商漏洞预警订阅机制,确保第一时间获取漏洞信息并启动处置流程。
前瞻启示:SSO协议安全的行业反思
此次FortiGate漏洞事件再次暴露了单点登录(SSO)技术的“双刃剑”属性:一方面,SSO能提升用户体验、简化权限管理;另一方面,其集中式认证架构使其成为黑客攻击的“单点突破口”,一旦出现漏洞,将引发“一损俱损”的连锁反应。
从历史经验来看,2020年SolarWinds攻击、2018年OpenSAML系列漏洞均源于SAML协议的验证缺陷,这类漏洞的共性在于攻击者无需复杂技术,仅需构造恶意消息即可绕过认证。这要求行业层面重新审视SSO协议的安全设计,未来需强化三个核心方向:一是强制启用签名验证与消息加密,杜绝“裸奔”的SAML消息传输;二是将多因素认证与SSO深度绑定,形成互补防护;三是建立SSO配置的安全基线,避免用户因不当配置放大风险。
对于企业而言,此次事件是网络安全架构优化的重要警示:核心网络设备不能依赖单一厂商或单一认证机制,需构建“异构防护+多层认证+持续监测”的纵深防御体系,才能在漏洞频发的网络安全环境中抵御未知威胁。
