Jetzt patchen! Angreifer nutzen kritische Lücke in Fortinet-Produkten aus

Wenn in FortiOS, FortiProxy, FortiSwitchManager und FortiWeb der SSO-Login aktiviert ist, sind Systeme verwundbar. Zurzeit nutzen Angreifer zwei „kritische“ Sicherheitslücken in diesem Kontext aus und attackieren PCs.

Gefährliche Schwachstellen

Standardmäßig ist die Authentifizierung via SSO nicht aktiv. Admins sollten zügig prüfen, ob sie SSO nutzen. Ist das der Fall, sollten sie die seit wenigen Tagen verfügbaren Sicherheitsupdates installieren. Geschieht das nicht, setzen Angreifer mit präparierten SAML-Nachrichten an den Lücken (CVE-2025-59718, CVE-2025-59719) an, umgehen so die Authentifizierung und greifen auf Appliances zu.

Die verwundbaren Versionen und die Sicherheitsupdates listet Fortinet in einer Warnmeldung auf. FortiOS 6.4, FortiWeb 7.0 und 7.2 sind von den Schwachstellen nicht betroffen. Ist eine Installation nicht sofort möglich, müssen Admins zum Schutz von Systemen den SSO-Login temporär deaktivieren. Das funktioniert etwa über das Command-Line-Interface mit diesen Befehlen:

config system global

set admin-forticloud-sso-login disable

end

Hintergründe zu Angriffen

Vor den Attacken warnen Sicherheitsforscher von Artic Wolf in einem Beitrag. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. In ihrem Beitrag führen die Sicherheitsforscher verschiedene Parameter wie IP-Adressen auf, an denen Admins bereits attackierte Instanzen erkennen können.

Sind Attacken erfolgt, sollten Admins neben der Installation des Patches alle Zugangsdaten zurücksetzen. Was Angreifer konkret nach einer erfolgreichen Attacke anstellen, ist derzeit unbekannt. Allgemein gilt, dass man Zugriffe von außen über Firewallregeln und VPN-Tunnel reglementieren sollte.

(des)