Fortinet a recunoscut că o vulnerabilitate critică de bypass de autentificare în FortiCloud Single Sign-On (SSO) continuă să fie exploatată activ, chiar și pe dispozitivele complet actualizate.
Vulnerabilitatea, catalogată drept CVE-2025-59718, permite atacatorilor să ocolească controalele de autentificare legate de mecanismele SSO bazate pe SAML. Deși Fortinet a lansat patch-uri în decembrie 2024, incidente recente arată că atacatorii au descoperit o cale alternativă de exploatare, compromițând firewall-uri FortiGate complet actualizate.
Rapoartele activității suspecte au început la jumătatea lunii ianuarie, când administratorii au observat conexiuni neautorizate și modificări de configurație pe dispozitive deja patate. Victimele au raportat că atacatorii au creat conturi administrative noi, au activat accesul VPN și au exfiltrat configurații sensibile în câteva secunde, indicând automatizare.
Firma de răspuns la incidente Arctic Wolf a confirmat o campanie coordonată de exploatare începând cu 15 ianuarie, țintind sistematic dispozitivele Fortinet cu FortiCloud SSO activat.
Carl Windsor, CISO al Fortinet, a declarat: „În ultimele 24 de ore, am identificat cazuri în care exploit-ul a afectat dispozitive complet actualizate, sugerând o nouă cale de atac.”
Atacurile prezintă un pattern recurent: conturi administrative neautorizate create după autentificări SSO provenind de la cloud-init@mail.io, asociate cu IP-ul 104.28.244.114.
Fortinet recomandă ca măsuri interimare:
• Restricționarea accesului administrativ prin politici de firewall locale
• Dezactivarea completă a FortiCloud SSO
• Analiza log-urilor pentru indicatori de compromitere.
Aproape 11.000 de dispozitive Fortinet rămân expuse public cu FortiCloud SSO activat, conform Shadowserver Foundation. Agenția americană CISA a adăugat CVE-2025-59718 în catalogul vulnerabilităților exploatate activ.
