Fortinet承认FortiGate SSO漏洞仍可被利用

Fortinet公司已确认，尽管在12月发布了补丁，但攻击者仍在积极绕过针对FortiCloud单点登录（SSO）认证关键漏洞的修复程序。此前有客户报告称，在已完全更新的设备上发现了可疑登录活动。

新攻击路径被发现

在最新发布的安全公告中，Fortinet表示已识别出一种新的攻击路径，攻击者正在利用该路径滥用FortiOS中基于SAML的SSO功能，即使在已经应用了厂商早期修复程序的系统上也是如此。

本周早些时候有报告显示，FortiGate防火墙通过被入侵的SSO账户被悄悄重新配置，攻击者修改防火墙设置、创建后门管理员用户，并窃取配置文件。

Arctic Wolf安全公司表示，这轮攻击活动大约在1月15日开始，攻击者在几秒钟内就创建了支持VPN的账户并窃取防火墙配置文件。这种行为强烈表明使用了自动化工具，而非人工操作。该安全公司补充说，这些活动与他们在12月观察到的事件非常相似，当时正值Fortinet披露了据称已修补的SSO认证绕过漏洞。

官方回应与调查进展

Fortinet首席信息安全官Carl Windsor表示："最近，少数客户报告了在其设备上发生的意外登录活动，这与之前的问题非常相似。然而，在过去24小时内，我们发现了多个案例，其中被攻击的设备在攻击时已完全升级到最新版本，这表明存在新的攻击路径。"

Windsor说："Fortinet产品安全团队已经识别出了这个问题，公司正在制定修复方案来解决这一情况。一旦修复范围和时间表确定，将发布相关公告。"

虽然迄今为止只观察到通过FortiCloud SSO的攻击利用，但Windsor警告说，潜在的安全弱点并不仅限于该服务。"需要注意的是，虽然目前只观察到FortiCloud SSO的攻击利用，但这个问题适用于所有SAML SSO实现。"这一细节无疑会让负责保护这些设备安全的人员感到担忧。

安全建议与后续措施

Fortinet尚未发布替代攻击路径的技术细节，但公司表示调查仍在进行中。与此同时，公司建议客户审查认证日志中的任何异常登录活动，限制管理界面的暴露，并密切监控管理员账户的变更。

目前，Fortinet客户只能监控日志并等待另一个修复程序，这次希望能真正关闭安全漏洞。

Q&A

Q1：FortiGate SSO漏洞具体是什么问题？

A：这是FortiCloud单点登录（SSO）认证中的一个关键安全漏洞，攻击者可以利用该漏洞绕过正常的身份验证流程，获得对FortiGate防火墙的未授权访问。即使在12月发布补丁后，攻击者仍发现了新的攻击路径来利用这个漏洞。

Q2：攻击者利用这个漏洞能做什么？

A：攻击者可以通过被入侵的SSO账户悄悄重新配置FortiGate防火墙，包括修改防火墙设置、创建后门管理员用户、窃取配置文件，以及创建支持VPN的账户。整个攻击过程可在几秒钟内完成，显示出高度自动化特征。

Q3：如何防护FortiGate SSO漏洞攻击？

A：Fortinet建议客户审查认证日志中的任何异常登录活动，限制管理界面的暴露范围，密切监控管理员账户的变更情况。同时需要注意，这个问题不仅影响FortiCloud SSO，还适用于所有SAML SSO实现。