Fortinet: krytyczne obejścia uwierzytelniania już wykorzystywane. Co musisz zrobić teraz

securitybeztabu.pl 4 godzin temu

Wprowadzenie do problemu / definicja luki

Atakujący rozpoczęli masowe nadużywanie dwóch krytycznych podatności obejścia uwierzytelniania w produktach Fortinet (FortiOS, FortiWeb, FortiProxy i FortiSwitchManager), które pozwalają ominąć FortiCloud SSO poprzez spreparowaną odpowiedź SAML. Pierwsze oznaki włamań odnotowano zaledwie kilka dni po wydaniu poprawek 9 grudnia 2025 r. (CVE-2025-59718, CVE-2025-59719).

W skrócie

  • Co się dzieje: aktywne logowania SSO do FortiGate’ów z adresów dostawców hostingu, a następnie eksport konfiguracji urządzeń.
  • Dotyczy: FortiOS, FortiWeb, FortiProxy, FortiSwitchManager – tylko gdy włączone jest FortiCloud SSO (domyślnie wyłączone; może zostać włączone podczas rejestracji FortiCare w GUI).
  • Wersje naprawione: m.in. FortiOS 7.6.4 / 7.4.9 / 7.2.12 / 7.0.18, FortiProxy 7.6.4 / 7.4.11 / 7.2.15 / 7.0.22, FortiSwitchManager 7.2.7 / 7.0.6, FortiWeb 8.0.1 / 7.6.5 / 7.4.10.
  • Status KEV: CVE-2025-59718 dodane do katalogu CISA KEV 16 grudnia 2025 r. z terminem remediacji do 23 grudnia (dla agencji FCEB w USA).

Kontekst / historia / powiązania

Fortinet regularnie znajduje się na linii ognia kampanii wymierzonych w interfejsy zarządzania firewallami/VPN. Tym razem czas między publikacją łat (9 grudnia) a wykryciem realnych ataków (12 grudnia) był wyjątkowo krótki — 3 dni, co potwierdza dojrzałość przeciwników w szybkim weaponizowaniu świeżych biuletynów.

Analiza techniczna / szczegóły luki

Obie podatności (CVSS do 9.8) wynikają z niewłaściwej weryfikacji podpisu kryptograficznego w przepływie SAML dla FortiCloud SSO:

  • CVE-2025-59718 (FortiOS / FortiProxy / FortiSwitchManager): atakujący bez uwierzytelnienia mogą odesłać spreparowaną odpowiedź SAML i uzyskać dostęp administracyjny przez SSO.
  • CVE-2025-59719 (FortiWeb): analogiczny błąd w FortiWeb (linie 7.4.x, 7.6.x, 8.0.0).

Warunek: FortiCloud SSO musi być włączone (nie jest domyślnie). Rejestracja urządzenia w FortiCare poprzez GUI może automatycznie aktywować opcję „Allow administrative login using FortiCloud SSO”, jeżeli admin jej nie wyłączy.

Artefakty ataku (wg Arctic Wolf):

  • logowania SSO na konto admin z puli znanych dostawców hostingu,
  • po udanym logowaniu – eksport konfiguracji przez GUI (konfiguracje zawierają hashe haseł).

Praktyczne konsekwencje / ryzyko

  • Przejęcie panelu admina bez poświadczeń lokalnych (pełne uprawnienia).
  • Wykradzenie konfiguracji → łamanie hashy offline → wtórne kompromitacje (VPN, konta administratorów).
  • Szybka mobilizacja botnetów/aktorów skanujących internet pod kątem interfejsów zarządzania Fortinet.

Rekomendacje operacyjne / co zrobić teraz

  1. Zainstaluj poprawki bezzwłocznie do wersji:
    • FortiOS: 7.6.4 / 7.4.9 / 7.2.12 / 7.0.18 lub nowszych,
    • FortiProxy: 7.6.4 / 7.4.11 / 7.2.15 / 7.0.22 lub nowszych,
    • FortiSwitchManager: 7.2.7 / 7.0.6 lub nowszych,
    • FortiWeb: 8.0.1 / 7.6.5 / 7.4.10 lub nowszych.
  2. Jeśli patchowanie chwilowo niemożliwe – wyłącz FortiCloud SSO:
    • GUI: System → Settings → przełącz Allow administrative login using FortiCloud SSO na Off.CLI:config system global set admin-forticloud-sso-login disable end
    (i analogicznie w FortiWeb/FortiProxy, jeżeli dotyczy).
  3. Ogranicz dostęp do interfejsów zarządzania wyłącznie z sieci zaufanych (ACL/VPN/jump host), wyłącz ekspozycję do internetu.
  4. Przeprowadź hunting/IR pod kątem nadużyć SSO:
    • Szukaj w logach zdarzeń udanych logowań SSO na konto admin z nietypowych IP; artefakty w stylu ui="sso(<IP>)" oraz wpisów o pobraniu konfiguracji przez GUI.
    • W przypadku wykrycia anomalii: reset haseł wszystkich kont na urządzeniu (i powiązanych usług), unieważnienie kluczy, przegląd zasad.
  5. Zweryfikuj zgodność z KEV (jeśli podlegasz wymogom): CVE-2025-59718 na liście KEV z deadline 2025-12-23.

Różnice / porównania z innymi przypadkami

  • W odróżnieniu od wielu wcześniejszych kampanii na Fortinet (RCE, path traversal), tutaj nie trzeba exploitować kodu wykonawczego – wystarcza bypass SAML/SSO. To zmienia wektor z „klasycznego RCE” na kradzież i nadużycie tożsamości usługowej w samym punkcie logowania.
  • Czas weaponizacji (3 dni) jest podobny do trendów obserwowanych przy głośnych kampaniach na interfejsy zarządzania (krótka półka życia poradnika → szybkie skanowanie → masowe logowania).

Podsumowanie / najważniejsze wnioski

  • Dwie krytyczne luki SAML w FortiCloud SSO są aktywnie wykorzystywane – priorytetem jest aktualizacja i wyłączenie SSO tam, gdzie nie jest niezbędne.
  • Wykryto realne loginy admin i eksporty konfiguracji; traktuj wszelkie wycieki konfigów jak kompromitację poświadczeń.
  • Sprawdź zgodność z CISA KEV i terminy remediacji, choćby jeżeli Twoja organizacja nie jest FCEB – to sensowny wskaźnik priorytetu ryzyka.

Źródła / bibliografia

  • SecurityWeek – In-the-Wild Exploitation of Fresh Fortinet Flaws Begins (16 grudnia 2025) – potwierdzenie exploitacji, wersje z poprawkami. (SecurityWeek)
  • SecurityWeek – Fortinet Patches Critical Authentication Bypass Vulnerabilities (10 grudnia 2025) – tło, stan domyślny SSO, wpływ produktów. (SecurityWeek)
  • Arctic Wolf – Observes Malicious SSO Logins… (15 grudnia 2025) – IoC, przykładowe logi, zalecenia, polecenia CLI. (Arctic Wolf)
  • NVD – CVE-2025-59718 – opis techniczny, zakres wersji, adnotacja o dodaniu do CISA KEV i terminie 2025-12-23. (NVD)
  • NVD – CVE-2025-59719 – opis techniczny dla FortiWeb, CVSS. (NVD)
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Fortinet: krytyczne obejścia uwierzytelniania już wykorzystywane. Co musisz zrobić teraz