Netzwerkadministratoren, die FortiGate-Geräte verwenden, sind seit Tagen aufgetreten: Was schien ein korrigierter Fehler bei der Authentifizierung von FortiCloud SSO (identifiziert als CVE-2025-59718) zu sein, wird wieder genutzt, um die Kontrolle von Firewalls auch in Geräten mit neueren Patches zu übernehmen. Benutzerberichte und Vorfallanalysen geben an, dass das als Lösung angekündigte Update den Zugriffspfad nicht vollständig geschlossen hat, sodass Angreifer Remote-Verwaltungskonten erstellen und Geräte verwalten können, als hätten sie legitime Anmeldeinformationen.
Die Situation akkumuliert mehrere Anzeichen der Schwerkraft: Nachweis der aktiven Ausbeutung, von Managern geteilte Aufzeichnungen und die Aufnahme von Sicherheitslücken in offizielle Risikolisten. In technischen Foren haben mehrere Administratoren Datensätze veröffentlicht, die die Erstellung eines Administratorbenutzers nach einem SSO-Login aus einem als Cloud-init @ mail identifizierten Konto zeigen. io und IP-Adresse 104.28.244.114, ein Muster, das mit Vorkommnissen zusammenfällt, die zuvor im Dezember erkannt wurden. Die gleichen Administratoren geben an, dass ihre Geräte Versionen ausführen, die den Fehler korrigiert haben sollten, was darauf hindeutet, dass das ursprüngliche Patch nicht alle Betriebsvektoren geschlossen hat.
Fortinet veröffentlichte eine technische Anmerkung zu diesem Vorfall auf seinem Sicherheitsportal (PSIRT), um den Umfang des Problems und die empfohlene Minderung zu erklären; es ist der offizielle Hinweis auf die Überprüfung betroffener Versionen und geplante Updates: Fortinet PSIRT - FG-IR-25-647. Die United States Agency for Infrastructure and Cybersecurity (CISA) hat diesen Eintrag zum Katalog aktiv genutzter Sicherheitslücken bereits hinzugefügt, um Bundesagenturen in kurzer Zeit Maßnahmen umzusetzen: CISA - Known Exploited Vulnerabilities (CVE-2025-59718).
Ein Faktor, der das Risiko erhöht, ist die öffentliche Exposition von Geräten mit FortiCloud SSO aktiviert. Im Dezember berichtete Shadowserver, dass es mehr als 25.000 Internet zugängliche Geräte mit dieser aktivierten Funktion gab; seitdem wurden mehrere tausend deaktiviert, aber es gibt noch mehr als 11.000 potenziell zugängliche Geräte aus dem öffentlichen Netz: Shadowserver - FortiCloud SSO ausgesetzt.
Während Fortinet neue Versionen des Betriebssystems (FortiOS 7.4.11, 7.6.6 und 8.0.0, nach internen Kommunikations- und Managementberichten) vorbereitet, um den Ausfall endgültig zu schließen, ist die praktische und dringende Empfehlung für diejenigen, die gefährdet sein können, vorübergehend die Möglichkeit der administrativen Sitzung von FortiCloud SSO deaktivieren. Diese Funktionalität wird nicht standardmäßig auf Geräten aktiviert, die nicht bei FortiCare registriert sind, aber auf denen es ist, kann es das Gateway werden, von dem die Angreifer profitieren.
Wenn Sie FortiGate verwalten, können Sie das FortiCloud SSO-Login aus der grafischen Schnittstelle deaktivieren, indem Sie auf System → Einstellungen und indem Sie die Option "Ermöglichen administrativen Login mit FortiCloud SSO" auf Off setzen. Wenn Sie die Befehlszeile bevorzugen, sind die Anweisungen zum Deaktivieren einfach; führen Sie die folgenden Befehle auf dem CLI des Geräts aus:
global system
set admin-forticloud-sso-login disable
Ende
Deaktivieren Sie diese Option sofort die Angriffsfläche aber es ist nicht die einzige vernünftige Maßnahme. Lokale Benutzer und Zugriffsprotokolle sollten geprüft werden, um neue Konten oder ungewöhnliche Aktivitäten zu erkennen, das IMS oder das zentrale Managementprotokoll sollte überprüft werden, um verdächtige SSO-Start-ups zu verfolgen, und alle Geräte, die Anzeichen von Engagement zeigen sollte Quarantäne. Wenn Sie administrative Konten erkennen, die Sie nicht erstellt haben, isolieren Sie sie und behandeln den Vorfall als Intrusion: Ändern Sie Passwörter, widerrufen Sie kompromittierte Schlüssel und Zertifikate und wiederherstellen Sie die Integrität des Geräts von der geprüften Sicherung, bevor Sie wieder mit der Produktion verbinden.
Die Sicherheitsgemeinschaft hat bereits Betriebsmuster dokumentiert, die auf das Senden von SAML-Nachrichten hinweisen, die als Vektor für das Supplantieren und Erstellen von Konten mit Privilegien manipuliert werden. Vorherige Analyse, die von Cybersicherheitsunternehmen verbreitet wird, verknüpft die Zwischenfälle im Dezember mit Embryonen des gleichen Modus operandi, der jetzt beobachtet wird; daher ist es wichtig, nicht nur die temporäre Blockade anzuwenden, sondern auf neue offizielle Updates von Fortinet im Auge zu behalten und sie anzuwenden, sobald sie als vollständig bestätigt werden.
Schließlich gibt es eine wichtige operative Dimension, während die Hauptabschwächung technisch ist: den betroffenen Teams klar und schnell zu kommunizieren, mit der Unterstützung des Anbieters und gegebenenfalls den Regulierungsbehörden zu koordinieren und Beweise für die forensische Analyse zu erhalten. Die öffentliche Kommunikation über diese Vorfälle zirkuliert bereits in spezialisierten Foren - zum Beispiel Manager haben Referenzen und Protokollproben in technischen Threads veröffentlicht - und die Behörden und Antwortgruppen folgen der Entwicklung. Für mehr Kontext und offizielle Quelle, überprüfen Sie die Fortinet-Benachrichtigung und den Eintrag des oben genannten CISA-Katalogs.
Die unmittelbare Lektion für Sicherheitsbeamte ist einfach, aber stark: Wenn Ihr FortiGate FortiCloud SSO aktiviert hat, deaktivieren Sie es jetzt und überwachen Sie unbefugte Zugriffszeichen, bis Fortinet einen Patch veröffentlicht und überprüft, der alle Bypass-Varianten schließt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...