Hackers buiten gekende kwetsbaarheid bij Fortinet actief uit

Hackers buiten gekende kwetsbaarheid bij Fortinet actief uit

Criminelen maken misbruik van twee kritieke kwetsbaarheden binnen FortiCloud om binnen te breken op apparaten en configuratie-data te stelen.

Twee eerder ontdekte kwetsbaarheden binnen het ecosysteem van Fortinet worden actief uitgebuit. Het gaat om CVE-2025-59718 en CVE-2025-59719. Beide bugs hebben betrekking op FortiCloud SSO (single sign-on)en een foutieve manier waarop cryptografische handtekeningen in SAML-berichten worden behandeld. Ze treffen FortiOS, FortiProxy, FortiSwitchManager en FortiWeb.

Voorbereiding voor verdere aanvallen

Wanneer FortiCloud SSO is ingeschakeld, kunnen criminelen de bugs uitbuiten. Standaard staat SSO niet ingeschakeld, maar dat verandert wanneer beheerders hun toestellen van Fortinet toevoegen via de FortiCare-gebruikersinterface.

Beveiligingsonderzoekers van Arctic Wolf stelden vast hoe hackers de bugs misbruiken om zich toegang te verschaffen tot beheerdersaccounts binnen Fortinet-omgevingen. Zodra ze zich beheerderstoegang hebben verschaft, downloaden ze systeemconfiguratiebestanden via de webmanagement-interface.

lees ook

FortiWeb geteisterd door kwetsbaarheden

Die bestanden zijn waardevol voor eventuele vervolgaanvallen. Ze bevatten de lay-out van het netwerk, informatie over oplossingen die aan het internet gekoppeld zijn, beleidsregels voor firewalls en zelfs (gehashte) wachtwoorden. Met die informatie kunnen hackers aan de slag om gericht dieper in te breken in bedrijfsnetwerken om meer schade aan te richten.

Update al beschikbaar

Op 9 december al heeft Fortinet klanten gewaarschuwd voor de bugs, en de nodige updates ter beschikking gesteld. Zoals vaak misbruiken de hackers dus bugs waarvoor al een patch bestaat, die in veel gevallen nog niet is doorgevoerd door beheerders.

Nu aanvallers de kwetsbaarheden effectief misbruiken, is patchen belangrijker dan ooit. Volgende versies van Fortinet-software zijn veilig, oudere versies niet:

  • FortiOS: 7.6.4+, 7.4.9+, 7.2.12+ en 7.0.18+
  • FortiProxy: 7.6.4+, 7.4.11+, 7.2.15+ en 7.0.22+
  • FortiSwitchManager: 7.2.7+ en 7.0.6+
  • FortiWeb: 8.0.1+, 7.6.5+ en 7.4.10+

Lukt updaten om de één of andere reden toch niet meteen, dan moeten beheerders de login-functie van FortiCloud tijdelijk uitschakelen. Dat kan via System en Settings waar je Allow administrative login using FortiCloud SSO naar Off dient te zetten.