Μια ενεργή εισβολή στοχεύει κρίσιμα τρωτά σημεία παράκαμψης ελέγχου ταυτότητας στις συσκευές FortiGate της Fortinet και σε συναφή προϊόντα.
Οι φορείς απειλών εκμεταλλεύονται τα CVE-2025-59718 και CVE-2025-59719 για να πραγματοποιήσουν συνδέσεις χωρίς έλεγχο ταυτότητας μίας σύνδεσης (SSO) μέσω κακόβουλων μηνυμάτων SAML, παρέχοντας στους εισβολείς πρόσβαση διαχειριστή.
Η Fortinet αποκάλυψε τα ελαττώματα σε μια συμβουλή PSIRT στις 9 Δεκεμβρίου 2025. Η Arctic Wolf ακολούθησε γρήγορα με το δικό της δελτίο ασφαλείας, προτρέποντας την άμεση επιδιόρθωση.
Τα τρωτά σημεία επηρεάζουν πολλές σειρές προϊόντων, FortiOS, FortiWeb, FortiProxy και FortiSwitchManager, όταν είναι ενεργοποιημένο το FortiCloud SSO.
Η σύνδεση FortiCloud SSO παραμένει απενεργοποιημένη από προεπιλογή στις εργοστασιακές ρυθμίσεις. Ωστόσο, ενεργοποιείται αυτόματα κατά την εγγραφή της συσκευής μέσω FortiCare GUI, εκτός εάν οι διαχειριστές απενεργοποιήσουν ρητά την επιλογή «Να επιτρέπεται η σύνδεση διαχειριστή με χρήση FortiCloud SSO». Αυτή η κοινή επίβλεψη εκθέτει συσκευές που έχουν πρόσβαση στο Διαδίκτυο σε απομακρυσμένη εκμετάλλευση.
Μόλις ενεργοποιηθεί, οι εισβολείς δημιουργούν ισχυρισμούς SAML για να παρακάμψουν πλήρως τον έλεγχο ταυτότητας. Αρκτικός Λύκος εκθέσεις εισβολές που προέρχονται από ένα περιορισμένο σύνολο διευθύνσεων IP που έχουν εκχωρηθεί σε παρόχους όπως η The Constant Company LLC και η Kaopu Cloud HK Limited. Αυτοί οι παράγοντες στοχεύουν κυρίως τον προεπιλεγμένο λογαριασμό “διαχειριστή”.
| ΔΟΕ | Πάροχος φιλοξενίας |
|---|---|
| 45.32.153[.]218 | Η Constant Company LLC |
| 167.179.76[.]111 | Η Constant Company LLC |
| 199.247.7[.]82 | Η Constant Company LLC |
| 45.61.136[.]7 | Bl Networks |
| 38.54.88[.]203 | Kaopu Cloud HK Limited |
| 38.54.95[.]226 | Kaopu Cloud HK Limited |
| 38.60.212[.]97 | Kaopu Cloud HK Limited |
Ένα δείγμα αρχείου καταγραφής από ένα παραβιασμένο FortiGate δείχνει μια επιτυχημένη σύνδεση SSO:date=2025-12-12 time=REDACTED ... logid="0100032001" ... user="admin" ui="sso(199.247.7[.]82)" method="sso" srcip=199.247.7[.]82 ... action="login" status="success" ...
Μετά τη σύνδεση, οι εισβολείς εξήγαγαν διαμορφώσεις συσκευών μέσω GUI από τις ίδιες IP, όπως αποδεικνύεται από:date=2025-12-12 time=REDACTED ... logid="0100032095" ... action="download" ... msg="System config file has been downloaded by user admin via GUI(199.247.7[.]82)"
Η πλατφόρμα διαχειριζόμενης ανίχνευσης και απόκρισης (MDR) της Arctic Wolf προσδιορίζει αυτά τα μοτίβα και συνεχίζει να ειδοποιεί τους πελάτες που επηρεάζονται.
Η Fortinet έχει απελευθερώθηκε σταθερές εκδόσεις σε όλους τους κλάδους. Προϊόντα όπως τα FortiOS 6.4, FortiWeb 7.0 και FortiWeb 7.2 παραμένουν ανεπηρέαστα.
| Προϊόν | Επηρεασμένες εκδόσεις | Διορθωμένη έκδοση |
|---|---|---|
| FortiOS 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiOS 7.4 | 7.4.0 – 7.4.8 | 7.4.9+ |
| FortiOS 7.2 | 7.2.0 – 7.2.11 | 7.2.12+ |
| FortiOS 7.0 | 7.0.0 – 7.0.17 | 7.0.18+ |
| FortiProxy 7.6 | 7.6.0 – 7.6.3 | 7.6.4+ |
| FortiProxy 7.4 | 7.4.0 – 7.4.10 | 7.4.11+ |
| FortiProxy 7.2 | 7.2.0 – 7.2.14 | 7.2.15+ |
| FortiProxy 7.0 | 7.0.0 – 7.0.21 | 7.0.22+ |
| FortiSwitchManager 7.2 | 7.2.0 – 7.2.6 | 7.2.7+ |
| FortiSwitchManager 7.0 | 7.0.0 – 7.0.5 | 7.0.6+ |
| FortiWeb 8.0 | 8.0.0 | 8.0.1+ |
| FortiWeb 7.6 | 7.6.0 – 7.6.4 | 7.6.5+ |
| FortiWeb 7.4 | 7.4.0 – 7.4.9 | 7.4.10+ |
Εάν εμφανιστούν κακόβουλα αρχεία καταγραφής, επαναφέρετε αμέσως όλα τα διαπιστευτήρια του τείχους προστασίας. Ακόμη και οι κατακερματισμένοι κωδικοί πρόσβασης στις εξαγόμενες ρυθμίσεις παραμέτρων παραμένουν ευάλωτοι σε επιθέσεις λεξικών εκτός σύνδεσης σε αδύναμα μυστικά.
Περιορίστε τις διεπαφές διαχείρισης μόνο σε αξιόπιστα εσωτερικά δίκτυα. Η Arctic Wolf έχει παρακολουθήσει επαναλαμβανόμενες καμπάνιες που χτυπούν το Fortinet και παρόμοιες συσκευές, συχνά μέσω εκτεθειμένων μηχανών αναζήτησης.
Ως προσωρινή λύση, απενεργοποιήστε το FortiCloud SSO: Μεταβείτε στο Σύστημα > Ρυθμίσεις και αλλάξτε την επιλογή “Να επιτρέπεται η σύνδεση διαχειριστή με χρήση FortiCloud SSO” σε Απενεργοποίηση ή εκτελέστε το CLI:
textconfig system global
set admin-forticloud-sso-login disable
end
Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στις αναβαθμίσεις εν μέσω αυξανόμενης στόχευσης τείχους προστασίας. Ο Arctic Wolf δίνει έμφαση στην επαγρύπνηση, με συνεχείς ανιχνεύσεις.
