19. Dezember 2025

Beschreibung

In mehreren Fortinet-Produkten existieren kritische Sicherheitslücken im FortiCloud SSO-Login-Mechanismus. Die Schwachstellen ermöglichen es unauthentifizierten Angreifern, die FortiCloud SSO-Authentifizierung durch manipulierte SAML-Nachrichten zu umgehen und administrativen Zugriff zu erlangen. Die Lücken werden bereits aktiv ausgenutzt.

CVE-Nummer(n): CVE-2025-59718, CVE-2025-59719

CVSS Base Score: 9.1

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung die FortiCloud SSO-Anmeldung umgehen und vollen administrativen Zugriff auf betroffene Geräte erlangen. Die Schwachstellen werden bereits aktiv ausgenutzt. Sicherheitsforscher von Arctic Wolf und Huntress haben beobachtet, dass Angreifer nach erfolgreicher Kompromittierung Gerätekonfigurationen exportieren. Da Konfigurationsdateien gehashte Anmeldedaten enthalten können, besteht die Gefahr, dass diese offline geknackt werden. Hinweis: Die FortiCloud SSO-Login-Funktion ist in den Werkseinstellungen standardmäßig deaktiviert. Wenn jedoch ein Administrator das Gerät über die GUI bei FortiCare registriert, wird FortiCloud SSO automatisch aktiviert, sofern die Option "Allow administrative login using FortiCloud SSO" nicht manuell deaktiviert wird.

Betroffene Systeme

* FortiOS + 7.6.0 bis 7.6.3 + 7.4.0 bis 7.4.8 + 7.2.0 bis 7.2.11 + 7.0.0 bis 7.0.17 * FortiProxy + 7.6.0 bis 7.6.3 + 7.4.0 bis 7.4.10 + 7.2.0 bis 7.2.14 + 7.0.0 bis 7.0.21 * FortiSwitchManager + 7.2.0 bis 7.2.6 + 7.0.0 bis 7.0.5 * FortiWeb + 8.0.0 + 7.6.0 bis 7.6.4 + 7.4.0 bis 7.4.9

Nicht betroffen: FortiOS 6.4, FortiWeb 7.0, FortiWeb 7.2

Abhilfe

Als temporärer Workaround kann die FortiCloud SSO-Login-Funktion deaktiviert werden: * Über GUI: System -> Settings -> "Allow administrative login using FortiCloud SSO" auf "Off" setzen * Über CLI: ``` config system global set admin-forticloud-sso-login disable end ```

Falls eine Kompromittierung vermutet wird, sollten alle Firewall-Anmeldedaten zurückgesetzt werden, da gehashte Credentials aus exportierten Konfigurationen offline geknackt werden könnten.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Zusätzlich wird empfohlen, den Zugriff auf Management-Interfaces von Firewalls und VPN-Appliances auf vertrauenswürdige interne Netzwerke zu beschränken. __________________________________________________________________

Informationsquelle(n):

Fortinet PSIRT Advisory FG-IR-25-647 (englisch): https://www.fortiguard.com/psirt/FG-IR-25-647

Arctic Wolf Security Bulletin (englisch):

[101]https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-log... following-disclosure-cve-2025-59718-cve-2025-59719/

VulnCheck Blog (englisch): https://www.vulncheck.com/blog/forticloud-sso-login-bypass

Mit freundlichen Grüßen, CERT.at