Eine neue störende Episode im Cyber-Sicherheits-Universum ist ans Licht gekommen: Forscher der Arctic Wolf-Firma entdeckte Mitte Januar 2026 eine automatisierte Kampagne, die Fortinet FortiGate Firewall Konfigurationen ohne Autorisierung ändert. Laut der von dem Unternehmen veröffentlichten Analyse haben die Angreifer den einzigartigen Anmeldefluss (SSO) im Zusammenhang mit FortiCloud genutzt, um auf Verwaltungskonsolen und Exfilter-Konfigurationsdateien zuzugreifen.
Die technische Mechanik, die dieses Eindringen ermöglicht, basiert auf SAML-Nachrichten, die manipuliert werden, um die Authentifizierung zu entfernen, wenn die SSO-Funktionalität von FortiCloud auf betroffenen Geräten aktiviert wird. Arctic Wolf identifiziert, dass die erreichten Produktfamilien FortiOS, FortiWeb, FortiProxy und FortiSwitchManager umfassen und verbindet diese Aktivität mit bereits katalogisierten Schwachstellen im Fortinet-Ökosystem. In Ihrem Bericht können Sie eine ausführliche Analyse der beobachteten Zeichen und der Reihenfolge der Aktionen des Angreifers lesen: Arctic Wolf Bericht.
Forscher beschreiben ein repetitives Muster: SSO-Sitzung beginnt gegen ein verdächtiges Konto namens cloud-init @ mail. io aus einem bestimmten Satz von IP-Adressen und dann die Konfigurationsdateien über die grafische Schnittstelle auf die gleichen Adressen exportieren. Die von Arctic Wolf angegebenen Adressen umfassen 104.28.244.115, 104.28.212.114, 217.119.139.50 und 37.1.209.19. Zusätzlich zu diesem ersten Konto erstellen die Angreifer Sekundärkonten mit generischen Namen - zum Beispiel secadmin, itadmin, Support, Backup, Remoteadmin oder Audit - mit der offensichtlichen Absicht, dauerhaften Zugriff auf das Gerät zu erhalten.
Ein Merkmal, das Analysten Highlight ist Geschwindigkeit: alle relevanten Ereignisse passieren in Sekundenschnelle, was darauf hindeutet, dass der Betrieb automatisiert ist. Diese Automatisierung erleichtert den Angreifer, Konfigurationsänderungen vorzunehmen, um VPN-Zugriff auf die erstellten Konten zu ermöglichen und in einigen Fällen die komplette Firewall-Konfiguration herunterzuladen. Es ist wichtig zu betonen, dass eine Sicherheitsgerätekonfigurationsdatei in der Regel Regeln, Routen, Zertifikate und manchmal Anmeldeinformationen oder Hinweise auf Geheimnisse enthält, die ein Gegner wieder verwenden kann, um sich seitlich in einem Netzwerk zu bewegen oder einen langen Zugriff aufrechtzuerhalten.
Die Publikation von Arctic Wolf kommt gleichzeitig, dass Nutzer in öffentlichen Foren anomales Verhalten melden. In einem Thread von Reddit kommentieren mehrere Fortinet-Administratoren auf böswillige SSO-Sitzung Start in Teams mit angewendeten Patches, und einer der Teilnehmer sagt, dass ein Fortinet-Entwicklungsteam persistente Probleme in Version 7.4.10. bestätigt. Die Diskussion ist hier in Reddit verfügbar: Gewinde in Reddit. In der Zwischenzeit unterhält Fortinet sein Portal von Sicherheitshinweisen und Produktdokumentationen, in denen Patches und offizielle Empfehlungen veröffentlicht werden: Sicherheitsberater und technische Dokumentation von Fortinet.
Während die offizielle Bestätigung und die endgültigen Patches vom Hersteller abhängen, haben Arctic Wolf und andere Experten bereits sofortige Maßnahmen zur Minderung vorgeschlagen. Die dringlichsten Maßnahmen umfassen die Deaktivierung der Option, die den Beginn der Verwaltungssitzung über FortiCloud SSO in den betroffenen Teams ermöglicht ( admin-forticloud-sso-login), überprüfen Sie die Liste der lokalen Administratoren, um unbekannte Konten zu erkennen, zu exportieren und zu analysieren Zugriffsprotokolle und Konfigurationsexporte, und begrenzen Sie den Zugang zu Management-Schnittstellen durch Zugriffskontrolllisten oder administrative Tunnel von vertrauenswürdigen IP-Adressen.
Es ist wichtig, schnell zu handeln, aber mit der Methode: die deaktivierte, verletzliche Funktionalität reduziert die Belichtungsfläche, ersetzt aber keinen umfassenden Überprüfungsprozess. Nach der Deaktivierung von SSO ist es angezeigt, alle aktuellen Änderungen zu überprüfen, Integrität und Vertrauen von Zertifikaten zu überprüfen, die Änderung der betroffenen Passwörter und Schlüssel zu zwingen und die neu erstellten Konten zu schließen. Response-Teams sollten nach Anzeichen von Seitenbewegungen oder zusätzlicher Hintertür-Erstellung suchen, da die Anzeige von Konfigurationsdateien dem Angreifer mehr Informationen zur Verfügung gestellt haben, um innerhalb der Umgebung zu schwenken.
Für diejenigen, die FortiGate und andere Produkte der Familie Fortinet verwalten, ist die kurzfristige praktische Empfehlung, die Anweisungen von Sicherheitsanbietern zu folgen und die Version zu aktualisieren, die Fortinet offiziell veröffentlicht, um die zugrunde liegenden Schwachstellen zu korrigieren. In der Zwischenzeit ist es ratsam, Kompensatorkontrollen anzuwenden: administrativen Zugriff, Export- und Konfigurations-Downloads einzuschränken und eine Aufzeichnung der IP-Adressen, von denen der Zugriff erfolgt, aufrechtzuerhalten. Wenn Sie einen Hinweis darauf benötigen, warum Schwachstellen in SAML-Flows kritisch sein können, können Sie technisches Material auf SAML und seine Missbrauchsvektoren in der Sicherheitsgemeinschaft sehen: OWASP-Dokumentation über SAML.
Die Situation ist eine Erinnerung daran, dass Bequemlichkeitsmechanismen wie Cloud SSO operative Vorteile bringen, aber auch Risiken, wenn nicht mit Härtungs- und Dauerüberwachungssteuerungen kombiniert. Sicherheits- und Betriebsteams müssen davon ausgehen, dass automatisierte Betriebsversuche bis zur endgültigen Minderung fortgesetzt werden. und organisieren ihre Antworten entsprechend: Vektor-Verschluss, forensische Prüfung und Bereitstellung von offiziellen Patches, wenn verfügbar.
Wir werden die Entwicklung des Vorfalls und die offiziellen Veröffentlichungen von Fortinet und von Antwortzentren verfolgen, um jede Empfehlung zu aktualisieren. In der Zwischenzeit können Sie die Arctic Wolf Analyse lesen und die Fortinet Anleitungen und Hinweise auf die oben genannten Links überprüfen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...