导言
本博客对CVE-2025-59718和CVE-2025-59719进行了技术分析,这两项关键认证绕过漏洞在启用FortiCloud单点登录(SSO)时会影响多个Fortinet产品。
这两个漏洞均源于在处理 SAML 响应时对加密签名验证不当(CWE-347)。在特定条件下,经过特殊构造的 SAML 响应可能会被视为有效,从而允许未经身份验证的攻击者绕过 FortiCloud SSO 身份验证。
在开展这项研究时,公开的技术信息十分有限,且尚无任何可独立验证的概念验证(PoC)来证明这些漏洞已被实际利用。OPSWAT 515OPSWAT 进行了深入分析,以确定这些漏洞是否在实际中可被利用,并评估其对现实世界的影响。
漏洞范围与技术影响
当使用 FortiCloud 单点登录 (SSO) 进行管理身份验证时,CVE-2025-59718 和 CVE-2025-59719 会影响多款 Fortinet 产品,包括 FortiOS、FortiWeb、FortiProxy 和 FortiSwitchManager。
这两个漏洞的根本原因在于处理 SAML 响应时对加密签名验证不当(CWE-347)。因此,在特定条件下,格式错误或经过篡改的 SAML 响应可能会被当作合法的身份验证数据进行处理。
当启用 FortiCloud SSO 时,此漏洞可能导致完全绕过身份验证。若攻击成功,未经身份验证的攻击者无需持有有效凭据即可访问受保护的管理界面。根据部署配置和访问暴露情况,这最终可能导致受影响设备完全被攻破。
根据 FortiGuard Labs 发布的公告,这些漏洞是在内部发现的。在发布时,尚未公开披露详细的利用机制和实际攻击流程。
对公共开发索赔的评估
披露后,多个公开仓库和技术博客文章声称提供了针对 CVE-2025-59718 和 CVE-2025-59719 的概念验证利用代码。为了准确评估这些漏洞在实际环境中的可利用性,Unit 515 在受控环境中对公开材料进行了系统性审查和实操验证。
经审查的材料包括多个 GitHub 代码库,这些代码库声称能够通过在 Fortinet 设备上使用精心构造的 SAML 响应来绕过身份验证。然而,在技术验证过程中,Unit 515 确定这些实现无法正常工作。
具体而言,我们的分析表明,已发布的概念验证(PoC):
- 无法成功绕过 FortiCloud SSO 身份验证
- 依赖于无法反映受影响产品中实际 SAML 处理行为的假设
- 无法建立有效的经过身份验证的会话或管理员访问权限
因此,实际上,所有已公开的PoC都无法利用CVE-2025-59718或CVE-2025-59719。
由第515单位进行的独立技术验证
鉴于 CVE-2025-59718 和 CVE-2025-59719 被评定为“严重”级别,且目前尚未发现任何经证实的公开利用案例OPSWAT 515OPSWAT 开展了一项独立的技术调查,以确定这些漏洞在实际环境中是否可被有效利用。
测试在受控的实验室环境中进行,使用了配置了 FortiCloud SSO 用于管理员身份验证的受影响的 Fortinet 设备。该研究重点分析了 SAML 响应处理逻辑、签名验证行为以及身份验证流程中做出的信任假设。
通过此次调查,515小组成功可靠地复现了该漏洞行为,并确认在特定条件下,SAML处理过程中加密验证不足的问题可被利用来绕过身份验证控制。由此产生的行为表明,这些漏洞并非理论上的,在满足先决条件时,可以以可重复的方式加以利用。
此次验证证实,CVE-2025-59718 和 CVE-2025-59719确实是具有实质性安全影响的身份验证绕过漏洞,而非边缘情况下的实现缺陷。
负责任的研究声明
所有测试均仅在我们的隔离、非生产环境中进行,旨在进行防御性研究。没有任何客户系统或外部环境受到影响。
建议
Fortinet 缓解措施
2025年12月,Fortinet发布了FortiGuard安全通告FG-IR-25-647,针对两个FortiCloud单点登录(SSO)身份验证绕过漏洞(CVE-2025-59718和CVE-2025-59719)进行了说明。 作为初步应对措施,Fortinet 为受影响的产品系列提供了更新的固件版本,并建议客户升级受影响的设备,同时审查涉及 FortiCloud SSO 的管理访问配置。
2026年1月下旬,Fortinet收到部分客户的报告,称其系统出现了与此前已解决的问题极为相似的异常管理员登录活动。值得注意的是,当时部分受影响的系统已运行最新固件版本,这表明所观察到的异常行为是由一条独立的攻击路径引起的,而非原有漏洞的补丁未完全生效所致。
经进一步调查,Fortinet 发现当启用 FortiCloud SSO 身份验证时,存在一种利用替代路径或通道(CWE-288)绕过身份验证的漏洞,该漏洞影响多款产品。此问题已被分配 CVE-2026-24858 编号,并在 FortiGuard 安全通告FG-IR-26-060 中进行了记录。
为缓解这一新发现的风险,Fortinet 发布了额外的固件更新,并在 FortiCloud 服务层实施了更严格的管控措施。自2026 年 1 月 27 日起,仅允许运行受支持且最新固件版本、并保持有效 FortiCloud 订阅的设备使用 FortiCloud SSO 身份验证。不符合这些要求的设备将无法通过 FortiCloud SSO 进行身份验证,从而有效阻止了通过受影响的身份验证路径进行的攻击。
这些综合措施既解决了最初披露的 FortiCloud SSO 绕过漏洞,也解决了随后发现的替代认证路径,从而显著降低了通过 FortiCloud SSO 进行未经授权的管理访问的风险。
Firewall 与OPSWAT 二极管解决方案
此类攻击凸显了一个关键的架构风险:一旦防火墙遭到破坏或被绕过,就无法再将其视为安全边界。一旦发生这种情况,攻击者便可能获得对受信任网络区域的持久访问权限,而所有仅由防火墙保护的系统都将面临风险。
防火墙仍是网络安全的重要组成部分,但它们本质上是基于信任假设运行的软件驱动型控制措施。当这些假设失效时——无论是由于身份验证被滥用、逻辑缺陷,还是管理通道遭到破坏——防火墙可能会在无意中助长攻击者的活动,而非阻止其行动。到了这一阶段,传统的加固措施和策略调整已收效甚微,因为网络边界本身已被突破。
Firewall之外的多层防御的重要性
弹性安全架构建立在“安全漏洞不可避免”这一前提之上。防火墙、身份认证服务及其他基于软件的控制措施都可能存在漏洞,也可能发生信任危机。一旦防火墙遭到攻破,任何将其作为唯一防护节点的系统都将面临严重风险,无论其内部防护措施多么严密。
为降低这一风险,组织必须采取多层防御策略,其中至少应包含一项控制措施,即使在防火墙信任边界崩溃后,该措施仍能遏制安全事件。这要求我们不仅要依靠基于策略的强制措施,还要实施物理隔离。
数据二极管作为一种确定性安全控制措施
数据二极管强制实现物理层上的单向数据流,确保信息只能单向传输,绝无回传可能。与依赖软件策略、会话处理和信任假设的防火墙不同,数据二极管在硬件层面上强制实施隔离。由于不存在入站路径,因此远程访问、命令注入和反向通信在结构上均不可能实现。
这种方法从根本上改变了安全模型。数据二极管并非试图检测或阻止恶意活动,而是彻底切断了攻击路径。即使上游控制措施遭到破坏,攻击者也无法与受保护的系统进行交互。
MetaDefender Optical Diode:全面的数据二极管解决方案
当防火墙防护已不足以保证网络分段时,企业需要一种能够独立于策略执行或双向信任机制来维护安全边界的控制措施。该 OPSWAT MetaDefender Optical Diode 正是为满足这一需求而设计,在不容有失的环境中,提供最高标准的网络隔离、数据完整性和合规性保障。
MetaDefender Optical Diode 专为防御针对关键基础设施和运营技术(OT)环境的现代网络威胁而设计,Optical Diode 了一种值得信赖的机制,可在不暴露受保护网络的情况下维持安全通信。该方案并非取代防火墙,而是通过强制实施物理单向数据流来对其进行补充,从而确保即使传统边界控制措施遭到破坏,关键系统仍能保持隔离状态。
OPSWAT收购FENDMetaDefender Optical Diode 现已全面支持各类部署规模和应用场景——从适用于远程或边缘设施的紧凑型解决方案,到面向大规模工业环境的高容量平台。无论是保障炼油厂、发电厂、交通枢纽、制造基地还是国防系统的安全,企业均可部署Optical Diode 为其运营需求Optical Diode 。
MetaDefender Optical Diode 通过将物理单向隔离与先进的威胁防御相结合Optical Diode 关键网络Optical Diode 安全地进行通信——且完全不会暴露于入站风险之中。它让企业确信,即使在高风险环境中,关键数据交换也能在不损害安全性的前提下顺利进行。
MetaDefender Optical Diode 是一款网络安全设备——它为那些必须坚守信任边界的环境Optical Diode 安心保障,即使在其他防护措施失效时Optical Diode 。
