Fortinet hat erkannt, dass es einen neuen Angriffsvektor untersucht, mit dem die SSO-Authentifizierung auf Geräten mit FortiCloud übersprungen werden kann, auch auf Geräten, die vor kurzem aktualisiert wurden. In den letzten Tagen erkannte das Unternehmen schädliche Zugriffe, die die zuvor angewandten Korrekturen nicht auf zwei zugewiesenen Schwachstellen wie CVE-2025-59718 und CVE-2025-59719 respektierten, was darauf hindeutete, dass die Angreifer eine alternative Route gefunden haben, um Sitzungen zu authentifizieren, ohne den legitimen Fluss von SAML zu durchlaufen.
Die gemeldeten Vorfälle zeigen ein klares Muster: Eindringlinge, die sich durch den FortiCloud SSO-Mechanismus einloggen, generische Konten erstellen, um dauerhaften Zugriff zu erhalten, die Konfiguration zu ändern, um sie mit VPN zu verbinden und Firewall-Einstellungen an externe Server zu extrahieren. Die von den Forschern beobachteten Kontonamen umfassen "cloud-noc @ mail.io" und "cloud-init @ mail.io", Etiketten, die dazu dienen, die Aktivität zu verfolgen und zu überprüfen, ob ein Gerät beeinträchtigt wurde.
Es ist wichtig zu verstehen, warum das ernst ist. SAML (Security Assertion Markup Language) ist ein weit verbreiteter Standard zur Delegation von Authentifizierung zwischen Identitätsanbietern und Diensten; wenn dieser Mechanismus ausfällt, kann ein Angreifer Administratoren ohne gültige Anmeldeinformationen supplantieren. Wenn Sie vertiefen wollen, wie SAML funktioniert und warum ein Misserfolg in seiner Umsetzung umfangreiche Konsequenzen haben kann, gibt es gute technische Erklärungen in der offiziellen OASIS-Dokumentation und in informativen Analysen wie Cloudflare: SAML v2.0 (OASIS) Spezifikation und praktische Erklärung von SAML von Cloudflare.
Fortinet hat eine öffentliche Analyse dieser Kampagne und die Ausbeutung des SSO veröffentlicht, dass es aktiv studiert und abmildert; sein technischer Bericht enthält die Ergebnisse und die vom Hersteller empfohlenen Zeitmaßnahmen. Sie können diese Notiz auf Ihrem offiziellen Blog sehen, um die Informationen direkt aus der Quelle zu sehen: SSO Missbrauchsanalyse in FortiOS (Fortinet). Darüber hinaus werden die damit verbundenen Schwachstellen in den CVE-Publikationslisten für die technische Referenz aufgezeichnet: CVE-2025-59718 und CVE-2025-59719.
Während Fortinet arbeitet, um den neuen Angriffsweg vollständig zu schließen, gibt es mehrere dringende Aktionen, die Organisationen mit FortiGate-Geräten ergreifen sollten. Zunächst ist es angebracht, die administrative Exposition von Geräten gegenüber dem Internet durch die Umsetzung von lokalen Zugangsrichtlinien und durch die Begrenzung der Richtung von Management-Ports zu reduzieren. Eine weitere praktische Maßnahme ist die vorübergehende Deaktivierung des FortiCloud SSO-Logins - die als admin-forticloud-sso-login- bis die Korrektur den neuen Vektor abdeckt. Es ist auch kritisch, bestehende Verwaltungskonten zu prüfen, die Anwesenheit der von Forschern beobachteten Namen zu suchen und Änderungen in VPN-Richtlinien und Konfigurationsexporten zu überprüfen, die Exfiltration anzeigen können.
Zusätzlich zu den spezifischen Maßnahmen sollten Erkennungs- und Eindämmungsmaßnahmen getroffen werden: Überprüfung von Authentifizierungs- und Systemaufzeichnungen zur Erkennung ungewöhnlicher SSO-Anmeldungen, Meldungen für die Erstellung von Verwaltungskonten und die Änderung von Fernzugriffsregeln sowie, falls die Verpflichtung bestätigt wird, die betroffenen Geräte zu isolieren und Konfigurationen aus der voreingenommenen Sicherung wiederherzustellen. Wir dürfen nicht vergessen, die allgemeine Position zu stärken: Multifaktor-Authentifizierung anwenden, wenn möglich rotieren Anmeldeinformationen und halten eine strenge Inventar und Änderungskontrolle für Edge-Geräte.
Dieser Vorfall lässt auch eine breitere Lehre: Obwohl die beobachtete Ausbeutung auf FortiCloud SSO konzentriert ist, können die Fehler in SAML-Implementierungen jeden Lieferanten oder Produkt beeinflussen, das von diesem Standard für den einzelnen Login abhängt. Aus diesem Grund wird empfohlen, alle SAML-Integrationen, die eingesetzt wurden, zu überprüfen, die Möglichkeit der Behauptungen zu analysieren, Angriffe zu verbergen und Veröffentlichungen ihrer Lieferanten und Cybersicherheitsbehörden für spezifische Maßnahmen zu konsultieren.
Die Situation entwickelt sich weiter und Fortinet hat angedeutet, dass es zusätzliche Korrekturen zur Schließung der neuen erkannten Angriffsspur einsetzt. Mit den offiziellen Mitteilungen des Lieferanten und den Alarmen der öffentlichen Sicherheit zu informieren, ist der Schlüssel, schnell zu reagieren. Für technische Nachverfolgung und offizielle Empfehlungen überprüfen Sie die Aussage des Herstellers und die oben genannten CVE-Einträge.
Wenn Sie FortiGate auf Ihrem Netzwerk verwalten und keine dieser Maßnahmen getroffen haben, handeln Sie so schnell wie möglich: den administrativen Zugang aus dem Internet begrenzen, den FortiCloud SSO deaktivieren, wenn es nicht erforderlich ist und die Verpflichtungssignale überwachen. In einer Welt, in der einzigartige Authentifizierungstools an Boden gewinnen, ist die Sicherheit ihrer Implementierung so stark wie die schwächste ihrer Integration.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...