heise PlusAbo
Anzeige
Alert!

Fortinet kämpft weiter gegen laufende SSO-Admin-Attacken

Angreifer attackieren schon länger diverse Fortinet-Produkte. Ein funktionierendes Sicherheitsupdate fehlt nach wie vor. Ein temporärer Schutz soll helfen.

vorlesen Druckansicht
Stilisiertes Bild mit rötlichen Leiterbahnen, offenem Schloss im Vordergrund und den Worten Data Leak, Security, Exploit found

(Bild: Black_Kira/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Noch immer haben es Angreifer auf FortiOS, FortiManager und FortiAnalyzer mit aktiviertem FortiCloud-SSO-Log-in abgesehen und erstellen sich Admin-Accounts. So können sie die volle Kontrolle über Geräte erlangen. Ein funktionierender Sicherheitspatch ist bislang nicht verfügbar. Geräte sollen aber durch eine serverseitige Einstellung durch Fortinet vorerst geschützt sein.

FortiCloud-SSO ist standardmäßig nicht aktiv. Achtung: Registrieren Admins Geräte über FortiCare, wird SSO automatisch aktiviert. Schon seit vergangenem Dezember kämpft Fortinet mit „kritischen“ SSO-Lücken (CVE-2025-59718, CVE-2025-59719) und hat Sicherheitspatches veröffentlicht. Seitdem gibt es auch Attacken.

Im Januar stellte sich dann heraus, dass Angreifer die Sicherheitsupdates umgehen und Geräte weiter attackieren. Nun hat Fortinet einen Beitrag mit Hintergründen zu den laufenden Angriffen veröffentlicht. Darin finden Admins unter anderem Hinweise (Indicators of Compromise, IoC), woran sie attackierte Instanzen erkennen können.

Zusätzlich hat das Unternehmen eine Warnmeldung publiziert und darin im Kontext der SSO-Attacken eine neue Zero-Day-Sicherheitslücke (CVE-2026-24858 „kritisch“) eingetragen.

Geräte laut Fortinet temporär geschützt

Angreifer setzen mit präparierten SAML-Anfragen an der Lücke an und umgehen die Authentifizierung. Fortinet weist darauf hin, dass sie derzeit Attacken im Kontext von FortiCloud-SSO beobachtet haben, das Sicherheitsproblem gelte aber für alle SAML-SSO-Implementierungen.

Sicherheitspatches sind Fortinet zufolge in Entwicklung. Wann sie veröffentlicht werden, ist aber bislang unklar. Um die Gefahr bis zum Erscheinen von Updates einzudämmen, gibt Fortinet an, den FortiCloud-SSO-Zugriff für verwundbare Geräte gesperrt zu haben. Demzufolge müssen Admins, wie zuvor empfohlen, den SSO-Login nicht mehr manuell deaktivieren.

Videos by heise

FortiAnalyzer 6.4, FortiManager 6.4 und FortiOS 6.4. sind dem Unternehmen zufolge nach jetzigem Kenntnisstand nicht verwundbar. FortiProxy 7.0 und 7.2 bekommen keine Sicherheitsupdates. An dieser Stelle ist ein Upgrade nötig. Die Anfälligkeit von FortiSwitch Manager und FortiWeb werde derzeit geprüft. Weitere Informationen zu den angekündigten Sicherheitspatches finden sich in der Warnmeldung.

(des)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten