美國網路安全與基礎設施安全局（CISA）將Fortinet多款網路安全產品的一項嚴重漏洞CVE-2025-59718列入已知遭利用漏洞（KEV）目錄，證實駭客已積極攻擊。該漏洞與另一同級CVE-2025-59719（CVSS皆9.1分）允許未認證攻擊者透過特製SAML訊息繞過單一登入（SSO）驗證，直接獲管理員權限。Fortinet於12月9日披露後，Arctic Wolf資安公司觀測到12月12日起的入侵活動，駭客鎖定管理員帳戶，匯出裝置配置檔含雜湊憑證與敏感資訊。對台灣而言，Fortinet FortiGate防火牆市佔逾40%，涵蓋政府、金融與企業邊界，若未修補，恐致全網淪陷，資安專家呼籲立即升級或關閉FortiCloud SSO，防範供應鏈與資料外洩災難。

 

漏洞核心在FortiCloud SSO功能：預設關閉，但管理員經GUI註冊FortiCare時自動啟用，除非手動關閉「Allow administrative login using FortiCloud SSO」。Fortinet公告指出，此設計讓許多裝置意外暴露。攻擊者無需認證，即可偽造SAML訊息繞過驗證，獲完整管理權—控制防火牆政策、VPN存取與流量路由。CISA評估此對聯邦企業「重大風險」，要求12月23日前修補或停用。Arctic Wolf觀測，攻擊IP來自德國、美國與亞洲託管商，專瞄管理員帳戶，成功後匯出配置至同一IP，準備後續破解雜湊憑證或橫移。

 

這類邊界設備漏洞向來駭客最愛：單一突破即掌網路咽喉。Arctic Wolf研究員分析，駭客常用專搜引擎鎖定暴露管理介面，快速大規模掃描。Tuskira執行長Piyush Sharma接受Dark Reading訪談時表示，「Fortinet裝置高價值，一妥協即建後門、改政策、開SSL VPN隧道橫移。本波攻擊竊配置檔，含網路拓撲與憑證，為未來零認證攻擊鋪路。」Sharma提醒，「修補需維護窗避中斷，但立即風險在暴露http/https管理介面—可先關閉或限信任IP。」

 

Fortinet已發布修補：FortiOS升至7.6.4、7.4.9、7.2.12、7.0.18以上；FortiProxy、FortiSwitchManager、FortiWeb同有對應版。FortiOS 6.4與FortiWeb 7.0/7.2不受影響。無法立即更新者，可CLI或系統設定關閉FortiCloud登入作為臨時緩解。Sharma建議長期防禦：即時監測IoC，如未授權管理員帳戶、可疑jsconsole會話、異常SSL VPN登入。

 

台灣衝擊嚴峻。根據資策會2025年網路安全報告，Fortinet FortiGate佔台灣防火牆市場45%，政府機關、金融如兆豐銀行、企業如中華電信廣用。若管理介面暴露公網，駭客10分鐘內即獲權，匯出配置後離線破解弱雜湊，後續建持久後門。近期相關事件如哈馬斯聯駭客探中東外交，或Storm-0249濫用EDR隱匿攻擊，皆顯示邊界設備成首要目標。趨勢科技台灣分公司估計，2025年台灣防火牆漏洞事件漲30%，多因預設配置疏失。國資中心資安處已發文各機關，列為高優先修補。

 

Arctic Wolf建議，若觀測可疑活動，假設憑證已洩：立即重置防火牆憑證，升級修補版。「雜湊雖保護，但弱密碼易字典攻擊。」Sharma補充，「單一妥協可引發連鎖：竊拓撲、建帳戶、改規則。」台灣企業多用FortiCloud註冊便利，卻忽略SSO風險，暴露管理介面成常態。

 

防範之道，專家一致：速度與深度並重。Sharma建議：

這波攻擊雖非Fortinet基礎漏洞，卻暴露邊界安全痛點：便利配置成隱雷。Sharma感慨，「當前戰役竊配置，為未來鋪路—零認證若介面暴露，即成現實。」在台灣數位基礎設施中，Fortinet守網路門戶，此事件是警鐘：從被動修補，到主動韌性。政府、企業與用戶聯手，方能讓防火牆從弱點，變成鐵壁，守護2026年不墜。

 

出處：本新聞參考自Jai Vijayan於2025年12月18日發表於Dark Reading的報導《Critical Fortinet Flaws Under Active Attack》。