Fortinet łata krytyczne luki „FortiCloud SSO login auth bypass” (CVE-2025-59718, CVE-2025-59719). Co musisz zrobić teraz

Wprowadzenie do problemu / definicja luki

Fortinet opublikował poprawki dla dwóch krytycznych podatności, które umożliwiają ominięcie uwierzytelniania FortiCloud SSO w wielu produktach: FortiOS, FortiProxy, FortiSwitchManager (CVE-2025-59718) oraz FortiWeb (CVE-2025-59719). Atak możliwy jest z sieci (bez uwierzytelnienia) poprzez spreparowany komunikat SAML, który zostaje błędnie uznany za prawidłowo podpisany kryptograficznie.

W skrócie

• Wektor: sieć / brak uwierzytelnienia; ominięcie logowania SSO FortiCloud przez fałszywe odpowiedzi SAML.
• Produkty: FortiOS, FortiProxy, FortiSwitchManager (CVE-2025-59718) oraz FortiWeb (CVE-2025-59719).
• Ciężar: CVSS v3.1 9.8 (Critical) (dla CVE-2025-59719 wg NVD).
• Domyślna ekspozycja: funkcja FortiCloud SSO nie jest domyślnie włączona; może się aktywować w procesie rejestracji do FortiCare, jeżeli administrator nie wyłączy przełącznika.
• Mitigacja natychmiastowa: wyłącz FortiCloud SSO do czasu aktualizacji do wersji niepodatnych.

Kontekst / historia / powiązania

Urządzenia Fortinet są regularnie wykorzystywane w kampaniach APT i ransomware (często jako zero-day). W 2025 r. głośne były m.in. masowe nadużycia błędów FortiWeb (CVE-2025-64446/58034). Dzisiejsze luki w SSO wpisują się w ten trend – funkcje tożsamości i zdalnego zarządzania to atrakcyjny cel dla napastników.

Analiza techniczna / szczegóły luki

Sednem obu CVE jest „improper verification of cryptographic signature” (CWE-347) w ścieżce przetwarzania SAML. Odpowiedź SAML, która powinna być podpisana przez zaufanego IdP, może zostać zaakceptowana mimo fałszerstwa – to prowadzi do ominięcia FortiCloud SSO i uzyskania dostępu administracyjnego.
Zakres wersji podatnych (wybór najważniejszych gałęzi wg NVD / agregatorów):

• CVE-2025-59718 (FortiOS/FortiProxy/FortiSwitchManager):
  FortiOS 7.6.0–7.6.3, 7.4.0–7.4.8, 7.2.0–7.2.11, 7.0.0–7.0.17;
  FortiProxy 7.6.0–7.6.3, 7.4.0–7.4.10, 7.2.0–7.2.14, 7.0.0–7.0.21;
  FortiSwitchManager 7.2.0–7.2.6, 7.0.0–7.0.5.
• CVE-2025-59719 (FortiWeb):
  FortiWeb 8.0.0; 7.6.0–7.6.4; 7.4.0–7.4.9.

Fortinet podkreśla, iż FortiCloud SSO nie jest włączone w ustawieniach fabrycznych. Włącza się podczas rejestracji do FortiCare, o ile administrator nie odznaczy przełącznika „Allow administrative login using FortiCloud SSO”. To krytyczna informacja dla oceny ekspozycji.

Praktyczne konsekwencje / ryzyko

Jeśli FortiCloud SSO jest aktywne, dowolny z Internetu atakujący może ominąć logowanie i uzyskać pełne uprawnienia administracyjne w dotkniętym urządzeniu (firewall/WAF/proxy/switch manager). To otwiera drogę do:

• zmiany konfiguracji i reguł filtracji,
• wdrożenia backdoorów (np. zmian w politykach lub skryptach),
• pivotu do innych segmentów sieci i eksfiltracji danych.

Rekomendacje operacyjne / co zrobić teraz

1. Wyłącz FortiCloud SSO (jeśli włączone) natychmiast, a następnie zaplanuj aktualizację do wersji niepodatnych wg PSIRT.
   • GUI: System → Settings → przełącz “Allow administrative login using FortiCloud SSO” na Off.CLI: config system global set admin-forticloud-sso-login disable end
2. Zaktualizuj FortiOS/FortiProxy/FortiSwitchManager/FortiWeb do wydań z poprawką dla FG-IR-25-647. Gdy strona PSIRT będzie dostępna, zweryfikuj konkretne „Solution” wersje i matryce zgodności.
3. Przegląd audytowy:
   • Sprawdź, gdzie faktycznie włączono FortiCloud SSO (nie zakładaj ustawień domyślnych po rejestracji do FortiCare).
   • Przejrzyj logi uwierzytelniania i administracyjne pod kątem anomalii (logowania bez korelacji z IdP).
   • Wymuś rotację haseł/tokenów administratorów oraz odśwież SAML metadata na IdP po aktualizacji.
4. Twardnienie dostępu zarządczego:
   • Ogranicz trusted hosts i segmentację dla interfejsów zarządczych.
   • Wymuś MFA poza SSO (lokalne konto break-glass, out-of-band).
   • Rozważ tymczasowe odseparowanie portów zarządczych od Internetu (VPN z certyfikatami + allow-list).
5. Atak powierzchniowy – redukcja: jeżeli musisz utrzymać SSO, włącz monitoring integralności SAML i alerty korelujące błędy weryfikacji podpisu/issuer.
6. Zarządzanie ryzykiem dostawcy: uwzględnij nowe CVE w asset discovery i inwentaryzacji – skanery (np. RunZero/Tenable) już wykrywają podatne wersje.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Wcześniejsze głośne incydenty Fortinet (np. FortiWeb CVE-2025-64446) dotyczyły błędów w panelach zarządzania prowadzących m.in. do tworzenia kont admina. Nowe CVE uderzają w warstwę federacji tożsamości (SAML/SSO) – skutkiem jest ominięcie logowania bezpośrednio na bramie, co bywa jeszcze trudniejsze do wykrycia, jeżeli logi IdP nie pokazują próby logowania.

Podsumowanie / najważniejsze wnioski

• Dwie krytyczne luki (CVE-2025-59718/59719) pozwalają ominąć FortiCloud SSO w wielu produktach Fortinet.
• Ekspozycja występuje tylko, gdy FortiCloud SSO jest włączone – ale może zostać automatycznie aktywowane podczas rejestracji do FortiCare, jeżeli nie odznaczono przełącznika.
• Działanie natychmiastowe: wyłącz SSO FortiCloud i aktualizuj do wersji podanych w FG-IR-25-647; zweryfikuj logi i wzmocnij dostęp administracyjny.

Źródła / bibliografia

1. BleepingComputer – „Fortinet warns of critical FortiCloud SSO login auth bypass flaws”, 9 grudnia 2025. (BleepingComputer)
2. NVD – CVE-2025-59718 (FortiOS/FortiProxy/FortiSwitchManager): opis i zakres wersji. (NVD)
3. NVD – CVE-2025-59719 (FortiWeb): opis, CVSS, zakres wersji. (NVD)
4. Fortinet PSIRT (FG-IR-25-647) – strona doradcza (matryca rozwiązań; chwilowo zdarzają się błędy 5xx). (fortiguard.com)
5. runZero – szybka identyfikacja aktywów Fortinet dotkniętych CVE-2025-59718/59719 (listy wersji). (runZero)