介紹
本部落格針對 CVE-2025-59718 與 CVE-2025-59719 進行技術分析,這兩項關鍵驗證繞過漏洞會影響多個 Fortinet 產品,當 FortiCloud 單一登入 (SSO) 功能啟用時即可能受影響。
這兩項漏洞皆源於在處理 SAML 回應時,對加密簽名(CWE-347)的驗證不當。在特定條件下,經特殊設計的 SAML 回應可能會被視為有效,從而使未經認證的攻擊者得以繞過 FortiCloud SSO 認證。
在進行這項研究時,公開的技術資訊相當有限,且並無任何可獨立驗證、能證明實際遭利用的概念驗證。OPSWAT 515OPSWAT 進行了深入分析,以釐清這些漏洞是否具有實際可利用性,並評估其對現實世界的影響。
漏洞範圍與技術影響
當使用 FortiCloud 單一登入 (SSO) 進行管理員驗證時,CVE-2025-59718 和 CVE-2025-59719 會影響多款 Fortinet 產品,包括 FortiOS、FortiWeb、FortiProxy 及 FortiSwitchManager。
這兩項漏洞的根本原因,在於處理 SAML 回應時對加密簽名驗證不當(CWE-347)。因此,在特定情況下,格式錯誤或經篡改的 SAML 回應可能會被當作合法的驗證資料進行處理。
當啟用 FortiCloud SSO 時,此漏洞可能導致完全繞過身份驗證。若攻擊成功,未經身份驗證的攻擊者無需持有有效憑證,即可存取受保護的管理介面。視部署設定及存取風險而定,這最終可能導致受影響的裝置完全遭入侵。
根據 FortiGuard Labs 發布的警示,這些漏洞是由內部人員發現的。在發布時,詳細的利用機制及實際攻擊流程並未對外公開。
對公共剝削指控的評估
在漏洞披露後,多個公開儲存庫及技術部落格文章聲稱提供了針對 CVE-2025-59718 和 CVE-2025-59719 的概念驗證攻擊程式。為了準確評估這些漏洞在實際環境中的可利用性,Unit 515 在受控環境中對公開資料進行了系統性審查與實機驗證。
經審查的資料包含多個 GitHub 儲存庫,聲稱可透過精心製作的 SAML 回應,在 Fortinet 設備上繞過身份驗證。然而,在進行技術驗證時,Unit 515 判定這些實作並無實際功能。
具體而言,我們的分析顯示,已發表的概念驗證(PoC):
- 無法成功繞過 FortiCloud SSO 驗證
- 依賴於未能反映受影響產品中實際 SAML 處理行為的假設
- 無法建立有效的經認證的會話或管理員存取權限
因此,目前公開的所有概念驗證(PoC)在實際操作中均無法利用 CVE-2025-59718 或 CVE-2025-59719。
由第 515 單位進行的獨立技術驗證
鑒於 CVE-2025-59718 和 CVE-2025-59719 被評定為「嚴重」級別,且目前尚未發現任何經證實的公開攻擊案例OPSWAT 515OPSWAT 遂展開獨立技術調查,以釐清這些漏洞在實際環境中是否具有可利用性。
本次測試是在受控的實驗室環境中進行,使用已受影響且配置了 FortiCloud SSO 進行管理員驗證的 Fortinet 設備。研究重點在於分析 SAML 回應處理邏輯、簽名驗證行為,以及驗證流程中做出的信任假設。
透過此次調查,第 515 單位成功可靠地重現了該漏洞行為,並確認在特定條件下,SAML 處理過程中的加密驗證不足,可被利用來繞過身份驗證控制。由此產生的行為表明,這些漏洞並非僅存在於理論上,而在滿足先決條件時,確實能夠以可重複的方式加以利用。
此項驗證證實,CVE-2025-59718 與 CVE-2025-59719 確實是具有實質性安全影響的真實認證繞過漏洞,而非邊緣案例的實作缺陷。
負責任研究聲明
所有測試均僅在我們的隔離、非生產環境中進行,旨在進行防禦性研究。客戶系統或外部環境均未受到影響。
建議
Fortinet 緩解措施
2025 年 12 月,Fortinet 發布了 FortiGuard 安全通報FG-IR-25-647,針對兩項 FortiCloud 單一登入 (SSO) 驗證繞過漏洞 CVE-2025-59718 和 CVE-2025-59719 提出處理建議。 作為初步應對措施,Fortinet 已為受影響的產品系列提供更新的韌體版本,並建議客戶升級受影響的裝置,並檢視涉及 FortiCloud SSO 的管理存取設定。
2026 年 1 月下旬,Fortinet 接獲少數客戶通報,指出系統出現與先前已處理問題極為相似的異常管理員登入活動。值得注意的是,當時部分受影響的系統已安裝最新韌體,這顯示所觀察到的異常行為是由於另一種攻擊途徑所致,而非原始漏洞的修補不完整所引起。
經進一步調查,Fortinet 發現當啟用 FortiCloud SSO 驗證時,存在一項利用替代路徑或通道(CWE-288)繞過驗證的漏洞,此漏洞影響多款產品。此問題已分配 CVE-2026-24858 編號,並記載於 FortiGuard 安全通報FG-IR-26-060 中。
為緩解此新發現的風險,Fortinet 已發布額外的韌體更新,並在 FortiCloud 服務層級實施更嚴格的管控措施。自2026 年 1 月 27 日起,僅允許運行受支援且為最新版本韌體,並保持有效 FortiCloud 訂閱的裝置使用 FortiCloud SSO 進行驗證。不符合這些要求的裝置將無法透過 FortiCloud SSO 進行驗證,從而有效阻斷透過受影響驗證路徑進行的攻擊。
這些綜合措施既解決了最初披露的 FortiCloud SSO 繞過漏洞,也處理了後續發現的替代驗證路徑,從而顯著降低了透過 FortiCloud SSO 進行未經授權的管理員存取的風險。
Firewall 與OPSWAT 二極體解決方案
此類攻擊凸顯了一項關鍵的架構風險:一旦防火牆遭到入侵或被破壞,便無法再作為安全邊界來依賴。一旦發生這種情況,攻擊者便可能獲得對受信任網路區段的持久存取權限,而所有僅由防火牆保護的系統都將暴露於風險之中。
防火牆仍是網路安全不可或缺的組成部分,但它們本質上是基於信任假設運作的軟體驅動型控制機制。當這些假設失效時——無論是因身份驗證遭濫用、邏輯缺陷,還是管理通道遭入侵——防火牆非但無法阻止攻擊者,反而可能無意間助長其活動。在此階段,傳統的系統強化與政策調整已難以發揮作用,因為邊界防線本身早已被突破。
Firewall之外的多層防禦的重要性
具韌性的安全架構是建立在「已遭入侵」的假設之上。防火牆、身分識別服務及其他基於軟體的控制措施,皆可能存在漏洞並面臨信任失效的風險。一旦防火牆遭到攻破,任何將其作為唯一防護節點的系統,無論內部防護措施多麼嚴密,都將面臨極高的安全風險。
為降低此風險,組織必須採行多層次防禦策略,其中至少應包含一項控制措施,即使在防火牆信任邊界崩潰後,仍能遏制資料外洩。這需要從基於政策的強制執行,進階至實體隔離。
資料二極體作為一種確定性安全控制措施
資料二極體強制實施物理上的單向資料流動,確保資訊僅能朝單一方向傳輸,且絕無回傳流量的可能性。與依賴軟體政策、連線處理及信任假設的防火牆不同,資料二極體是在硬體層級上實現隔離。由於不存在入站路徑,這使得遠端存取、指令注入及反向通訊在結構上皆不可能發生。
這種方法從根本上改變了安全模型。資料二極體並非試圖偵測或阻擋惡意活動,而是徹底切斷攻擊路徑。即使上游控制措施遭到入侵,攻擊者也無法透過任何機制與受保護的系統進行互動。
MetaDefender Optical Diode:全面的單向傳輸閘道解決方案
當防火牆防護已不足以確保網路區隔時,組織便需要一種控制機制,能夠在不依賴政策執行或雙向信任的情況下,維持安全邊界。該 OPSWAT MetaDefender Optical Diode 正是為滿足此需求而設計,為絕不容許失敗的環境提供最高標準的網路隔離、資料完整性及法規遵循能力。
MetaDefender Optical Diode 專為抵禦針對關鍵基礎設施及營運技術(OT)環境的現代網路威脅而設計Optical Diode 值得信賴的機制,可在不暴露受保護網路的前提下維持安全通訊。它並非取代防火牆,而是透過強制實施物理單向資料流來補充防火牆的功能,確保即使傳統邊界控制措施遭到破壞,關鍵系統仍能保持隔離狀態。
隨著OPSWAT近期收購 FENDMetaDefender Optical Diode 現已能支援各種部署規模與應用情境——從適用於遠端或邊緣設施的緊湊型解決方案,到適用於大型工業環境的高容量平台。無論是保護煉油廠、發電廠、交通樞紐、製造廠區或國防系統,各組織皆可部署專為其營運需求Optical Diode MetaDefender Optical Diode 解決方案。
MetaDefender Optical Diode 透過結合物理單向隔離與先進的威脅防禦Optical Diode 關鍵網路Optical Diode 安全地進行通訊,且完全不會暴露於外來風險之下。它讓企業確信,即使在高風險環境中,也能在不損害安全性的前提下進行必要的資料交換。
MetaDefender Optical Diode 台網路安全設備——它Optical Diode 為那些必須堅守信任邊界的環境Optical Diode 安心感,即使在其他防護措施失效時亦然。
