在資安威脅日益嚴峻的 2026 年初,Fortinet 針對其旗艦作業系統 FortiOS 推出了重要的版本更新 FortiOS 7.6.5。對於長期關注 Fortinet 生態系的 IT 管理者而言,這個版本具有里程碑意義,它被標記為 FortiOS 7.6 系列的第一個「成熟版(Mature Release)」,代表該版本在穩定性,已通過更嚴格的驗證,建議廣大企業用戶可以開始評估並導入,從 7.4 跳到 7.6 已經是 Mature 通道了。
然而,這次更新不僅僅是修補 Bug,還包含了幾項可能影響現有架構的重大變更,以及針對近期高風險 CVE 漏洞的關鍵防禦。以下為 CyberQ 依據客戶案場與實際情形,彙整本次更新的技術重點與資安情報。
效能最佳化是輕量級機種的福音
對於使用 FortiGate 100F、200F、80F 或 70F 等中階與入門款機型的用戶來說,FortiOS 7.6.5 帶來了一個好消息。根據官方說明與社群回報,透過修復 ASLR(位址空間配置隨機載入)相關的記憶體問題,此版本在這些機種上的記憶體使用率顯著下降了 5% 至 7%。這對於資源有限的邊緣設備來說,意味著更高的穩定性與處理餘裕。
本例為 CyberQ 的 Fortigate F 系列機器更新到 7.6.5 前的系統提醒畫面。
升級前需要留意的重大變更(Breaking Changes)
在按下「升級」按鈕前,請務必留意以下幾項可能導致服務中斷的變更:
強制 FortiCare 註冊:針對 G 系列等新型號,FortiOS 7.6.5 強制要求設備必須完成 FortiCare 註冊。如果未註冊,您將無法進行任何設定變更。這是一個「硬強制(Hard Enforcement)」,請確保您的設備合約狀態正常。
Diffie-Hellman Group 5 退場:為了符合現代加密標準,DH Group 5 已被正式棄用。預設的 Phase 1 與 Phase 2 演算法已轉向更安全的 Group 20 和 21。若您的老舊 VPN 通道仍依賴 Group 5,升級後通道將會斷線,請務必先進行審計與調整。
2GB RAM 機種的功能削減:為了維持系統效能,2GB 記憶體的入門機種(如舊款 Entry-level)在升級此版本後,將不再支援大部分的 Proxy 相關功能(如 Web Proxy),且不再支援 Security Rating 與 Security Fabric 的拓撲視圖。
資安情報與 CVE 漏洞修補
此次更新的重要應對事項之一,是應對近期爆發的高風險漏洞。FortiOS 7.6.5 針對以下關鍵 CVE 提供了必要的緩解與修補:
FortiCloud SSO 繞過漏洞 (CVE-2025-59718 & CVE-2025-59719),這是近期最危險的漏洞之一,CVSS 評分高達 9.8(Critical)。攻擊者可透過偽造的 SAML 訊息,繞過 FortiCloud 的單一登入(SSO)驗證,進而取得設備控制權。雖然官方提供了「關閉 FortiCloud 管理登入」的臨時解法,但升級韌體才是治本之道。
RADIUS 協議漏洞 (CVE-2024-3596): 針對已知的 RADIUS 攻擊手法(Blast-RADIUS),新版本強制驗證 message-authenticator 並拒絕帶有未識別 proxy-state 屬性的回應,強化了身份驗證的安全性。
老舊漏洞的反撲 (CVE-2020-12812): 資安情報顯示,駭客近期正重新利用 2020 年的一個 SSL VPN 雙重驗證(2FA)繞過漏洞進行攻擊。換言之,日常維運時,Patch Management(修補管理) 沒有「過期」的一天,升級到最新版韌體時,有機會能一次解決累積的歷史資安或技術債務,但也有機會產生新的問題,升級前請先多方評估。
SSL VPN 轉向 IPsec 的趨勢確立
Fortinet 在此版本中繼續推動從 SSL VPN Web Mode(無使用者端模式)轉向 IPsec VPN 或 Agent-based VPN 的策略。部分型號已不再支援 Agentless VPN(即 Web Mode)。考量到 SSL VPN 近年來頻繁成為攻擊目標,建議企業應加速轉型至 Zero Trust Network Access (ZTNA) 或傳統但穩固的 IPsec VPN 架構。
更新前的建議措施
CyberQ 建議資安團隊採取以下行動:
盤點資產:確認手邊 2GB RAM 的舊設備是否適合升級,或是該安排汰換。
檢查 VPN:檢查所有 IPsec VPN 的 DH Group 設定,移除 Group 5。
備份設定:因為本次涉及加密金鑰與設定檔結構的變更(如 Private Data Encryption),升級前的全機備份(包含 USB 備份)至關重要。
測試驗證:在非生產環境驗證 FortiCloud SSO 與 RADIUS 驗證的相容性。
CyberQ 認為,FortiOS 7.6.5 是一個象徵成熟與安全強化的版本,雖然伴隨著陣痛(功能削減與強制註冊),但在當前的威脅環境下,這是一個值得投資的升級方向。
有關 SSL VPN 逐步被 IPsec VPN 取代的趨勢與技術細節,可以參考這部影片了解更多背景資訊: SSLVPN replaced by FortiGate with IPsec VPN
這段影片詳細解釋了為何 Fortinet 正在逐步淘汰 SSL VPN 功能並轉向 IPsec,這與 FortiOS 7.6.5 中移除部分型號 Web Mode 支援的策略完全一致,有助於理解此次更新。
首圖由 Nano Banana AI 生成
