Πάνω από 25.000 συσκευές Fortinet παγκοσμίως με ενεργοποιημένο το FortiCloud Single Sign-On (SSO), αφήνοντάς τες δυνητικά εκτεθειμένες σε απομακρυσμένες επιθέσεις.
Το εύρημα προέρχεται από το βελτιωμένο δακτυλικό αποτύπωμα συσκευής σε μια νέα αναφορά Αναγνώρισης συσκευής, η οποία σάρωσε τις παγκόσμιες διευθύνσεις IP και επισήμανε αυτά τα συστήματα ότι διαφημίζουν ανοιχτά τη διαμόρφωση SSO τους.
Το FortiCloud SSO απλοποιεί τον έλεγχο ταυτότητας για το οικοσύστημα της Fortinet, συμπεριλαμβανομένων των τειχών προστασίας, των διακοπτών και των σημείων πρόσβασης όπως η σειρά FortiGate. Αν και είναι βολικό για τις επιχειρήσεις, η δημόσια έκθεση αυτής της δυνατότητας μπορεί να ενημερώσει τους εισβολείς να ερευνήσουν για αδυναμίες.
Το Shadowserver Foundation ανίχνευσε τουλάχιστον 25.000 μοναδικές IP σε περιοχές, συμπεριλαμβανομένης της Βόρειας Αμερικής, της Ευρώπης και της Ασίας-Ειρηνικού. “Αυτό δεν είναι απλώς θόρυβος, είναι ένα σαφές σήμα για εκτεθειμένες διεπαφές διαχείρισης”, σημείωσε η ομάδα στη συμβουλευτική τους.
Η έκθεση εγείρει συναγερμούς εν μέσω πρόσφατων τρωτών σημείων του Fortinet. Συγκεκριμένα, τα CVE-2025-59718 και CVE-2025-59719 βαθμολόγησαν και τα δύο με υψηλή σοβαρότητα από το CVSS, επηρεάζοντας τα ενσωματωμένα στο FortiCloud συστήματα.
Το CVE-2025-59718 (CVSS 8.2) περιλαμβάνει ακατάλληλους ελέγχους πρόσβασης στα τελικά σημεία SSO, επιτρέποντας σε απομακρυσμένους μη επιβεβαιωμένους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας υπό συγκεκριμένες συνθήκες. Το CVE-2025-59719 (CVSS 7.5) εκμεταλλεύεται τον αδύναμο χειρισμό περιόδων σύνδεσης, επιτρέποντας την ανάληψη λογαριασμού εάν συνδυάζεται με απόπειρες phishing ή ωμής βίας.
Είναι σημαντικό ότι δεν είναι όλες οι εκτεθειμένες συσκευές ευάλωτες. Η κατάσταση επιδιόρθωσης, οι αποχρώσεις διαμόρφωσης και η τμηματοποίηση δικτύου παίζουν βασικούς ρόλους. «Η παρουσία στη σάρωση μας δεν επιβεβαιώνει τον κίνδυνο εκμετάλλευσης», προειδοποίησαν οι ερευνητές. “Εάν λάβετε μία από τις αναφορές έκθεσης μας, επαληθεύστε αμέσως τη ρύθμιση FortiCloud SSO και εφαρμόστε ενημερώσεις κώδικα.”
Το Fortinet κυκλοφόρησε επιδιορθώσεις στις ενημερώσεις υλικολογισμικού του Δεκεμβρίου 2025 (π.χ. FortiOS 7.4.4 και 7.2.9), παροτρύνοντας τους διαχειριστές να απενεργοποιήσουν τη δημόσια έκθεση SSO όπου είναι δυνατόν.
| Προϊόν | Επηρεασμένες εκδόσεις | Διορθωμένη έκδοση |
|---|---|---|
| FortiOS 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0 – 7.4.8 | 7.4.9+ |
| FortiOS 7.2 | 7.2.0 – 7.2.11 | 7.2.12+ |
| FortiOS 7.0 | 7.0.0 – 7.0.17 | 7.0.18+ |
| FortiProxy 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiProxy 7.4 | 7.4.0 – 7.4.10 | 7.4.11+ |
| FortiProxy 7.2 | 7.2.0 – 7.2.14 | 7.2.15+ |
| FortiProxy 7.0 | 7.0.0 – 7.0.21 | 7.0.22+ |
| FortiSwitchManager 7.2 | 7.2.0 – 7.2.6 | 7.2.7+ |
| FortiSwitchManager 7.0 | 7.0.0 – 7.0.5 | 7.0.6+ |
| FortiWeb 8.0 | 8.0.0 | 8.0.1+ |
| FortiWeb 7.6 | 7.6.0 – 7.6.4 | 7.6.5+ |
| FortiWeb 7.4 | 7.4.0 – 7.4.9 | 7.4.10+ |
Οι βέλτιστες πρακτικές περιλαμβάνουν τον περιορισμό της πρόσβασης FortiCloud σε IP μόνο για VPN ή ιδιωτικές, την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και την παρακολούθηση αρχείων καταγραφής για ανώμαλη κίνηση SSO.
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στις σαρώσεις χρησιμοποιώντας εργαλεία όπως το Shodan ή την υπηρεσία ερευνητών. Οι πελάτες του Fortinet μπορούν να ρωτήσουν την πύλη υποστήριξής τους για προσαρμοσμένες αξιολογήσεις. Καθώς η ασφάλεια που διαχειρίζεται το cloud θολώνει τις γραμμές μεταξύ της on-prem και της απομακρυσμένης πρόσβασης, η επαγρύπνηση παραμένει κρίσιμη για την αποτροπή απομακρυσμένων απειλών.
