Kihasznált Fortinet eszközök
2025 vége óta biztonsági válság alakult ki a Fortinet eszközeivel kapcsolatban, miután egy kritikus hitelesítés-kikerülési (SSO bypass) sebezhetőség kihasználását valós támadásokban is megfigyelték. A hibát CVE-2025-59718 és CVE-2025-59719 azonosítókkal követik, és több Fortinet-terméket, köztük FortiOS, FortiProxy, FortiSwitchManager és FortiWeb, érint, amikor a FortiCloud SSO funkció engedélyezve van.
A probléma lényege, hogy az érintett eszközök nem megfelelően ellenőrzik a SAML-üzenetek aláírását, így egy előre megformázott SAML üzenettel a támadó hitelesítés nélkül adminisztratív hozzáférést szerezhet az eszköz kezelőfelületéhez. Ezt aktívan ki is használják a gyakorlatban, több biztonsági cég, köztük az Arctic Wolf és más kutatók valódi kihasználásokat észleltek, ahol a támadók admin jogosultságot szereztek, majd konfigurációs fájlokat is kimentettek a célrendszerekről. Emiatt ezek a konfigurációk további későbbi támadások alapjául szolgálhatnak.
A sebezhetőségek korábban még 2025 decemberében kaptak javítócsomagot, ám a mostani beszámoló szerint a javítás nem zár minden kihasználási utat, illetve a patchelt rendszereken is történtek támadások.
Mivel a gyártó még nem adott ki végleges, minden érintett komponensre teljesen javító patch-et, az átmeneti védelem, hogy a rendszergazdák azonnal kikapcsolják a FortiCloud SSO-t és ellenőrizzék a frissítéseket.
