Vulnerabilități critice ale dispozitivelor FortiGate SSO exploatate activ

O intruziune activă vizează vulnerabilități critice de ocolire a autentificării în dispozitivele FortiGate ale Fortinet și produsele conexe.

Persoanele rău intenționate exploatează CVE-2025-59718 și CVE-2025-59719 pentru a efectua conexiuni SSO (single sign-on) neautentificate prin mesaje SAML rău intenționate, acordând atacatorilor acces administrativ.

Vulnerabilitățile afectează mai multe linii de produse, FortiOS, FortiWeb, FortiProxy și FortiSwitchManager, atunci când FortiCloud SSO este activat.

Autentificarea FortiCloud SSO rămâne dezactivată în mod implicit în setările din fabrică. Cu toate acestea, se activează automat în timpul înregistrării dispozitivului prin intermediul GUI FortiCare, cu excepția cazului în care administratorii dezactivează în mod explicit opțiunea Permiteți autentificarea administrativă utilizând FortiCloud SSO. Această omisiune frecventă expune dispozitivele conectate la internet la exploatarea de la distanță.

Odată activate, atacatorii creează cereri SAML pentru a ocoli complet autentificarea.

Fortinet a lansat versiuni remediate în toate ramurile. Produse precum FortiOS 6.4, FortiWeb 7.0 și FortiWeb 7.2 rămân neafectate.

Dacă apar log-uri rău intenționate, resetați imediat toate datele de autentificare ale firewall-ului. Chiar și parolele hash din configurațiile exportate rămân vulnerabile la atacuri offline de tip dictionary asupra parolelor necomplexe. Restricționați interfețele de gestionare numai la rețelele interne de încredere.

Ca soluție temporară, dezactivați FortiCloud SSO: Accesați System > Settings (Sistem > Setări) și comutați opțiunea Allow administrative login using FortiCloud SSO (Permiteți conectarea administrativă utilizând FortiCloud SSO) pe Off (Dezactivat) sau rulați CLI:

textconfig system global

set admin-forticloud-sso-login disable

end

Se recomandă actualizarea produselor afectate cu prioritate în contextul creșterii numărului de atacuri asupra firewall-urilor.

Sursă: https://cybersecuritynews.com/fortigate-devices-sso-vulnerabilities/

Vulnerabilități critice ale dispozitivelor FortiGate SSO exploatate activ

Festivitatea de premiere a participanților la exercițiul CyberMAN25

Exercițiul CyberMAN25

Locked Shields 2025 – exercițiu NATO de apărare cibernetică

Exercițiul NATO de apărare cibernetică Cyber Coalition 2024

PoC lansat pentru o vulnerabilitate din Windows

Vulnerabilitatea din Cisco SD-WAN exploatată în atacuri zero-day din 2023

Actualizarea Windows 11 KB5077241 îmbunătățește BitLocker și adaugă instrumentul Sysmon

Vulnerabilități identificate în VMware Aria Operations

PoC lansat pentru o vulnerabilitate din Windows

Vulnerabilitatea din Cisco SD-WAN exploatată în atacuri zero-day din 2023

Actualizarea Windows 11 KB5077241 îmbunătățește BitLocker și adaugă instrumentul Sysmon

Vulnerabilități identificate în VMware Aria Operations

Ai mai putea citi