„Fortinet“ klientai mato, kad užpuolikai naudoja pataisų apeiti anksčiau ištaisytą kritinį „FortiGate“ autentifikavimo pažeidžiamumą (CVE-2025-59718), kad nulaužtų pataisytas ugniasienes.
Vienas iš paveiktų administratorių teigė, kad „Fortinet“ tariamai patvirtino, kad naujausia „FortiOS“ versija (7.4.10) nevisiškai pašalino šį autentifikavimo apėjimo pažeidžiamumą, kuris turėjo būti pataisytas gruodžio pradžioje, išleidus „FortiOS 7.4.9“.
Taip pat pranešama, kad „Fortinet“ artimiausiomis dienomis planuoja išleisti „FortiOS 7.4.11“, 7.6.6 ir 8.0.0, kad visiškai ištaisytų saugos trūkumą.
„Mes ką tik turėjome kenkėjišką SSO prisijungimą prie vieno iš mūsų FortiGate, kuriame veikia 7.4.9 (FGT60F). Turime SIEM, kuris užfiksavo sukuriamą vietinio administratoriaus paskyrą. Dabar atlikau nedidelį tyrimą ir atrodo, kad būtent taip atrodė, kai kas nors prisijungė prie CVE-2025-59718. Bet mes sakėme nuo 7.40 d.
Klientas bendrino žurnalus, rodančius, kad administratoriaus naudotojas buvo sukurtas naudojant SSO prisijungimą iš cloud-init@mail.io iš IP adreso 104.28.244.114. Šie žurnalai atrodė panašūs į ankstesnį CVE-2025-59718 išnaudojimą, kurį 2025 m. gruodį pastebėjo kibernetinio saugumo įmonė Arctic Wolf ir pranešė, kad užpuolikai aktyviai naudojasi pažeidžiamumu naudodamiesi kenkėjiškais SAML pranešimais, siekdami pažeisti administratoriaus paskyras.
„Mes stebėjome tą pačią veiklą. Taip pat veikia 7.4.9. Tas pats vartotojo prisijungimas ir IP adresas. Sukurtas naujas sistemos administratoriaus vartotojas, pavadintas „helpdesk”. Turime atvirą bilietą su palaikymu. Atnaujinimas: „Fortinet” kūrėjų komanda patvirtino, kad pažeidžiamumas išlieka arba nepataisytas 7.4.10 versijoje”, – pridūrė kitas.
„BleepingComputer“ šią savaitę kelis kartus kreipėsi į „Fortinet“ su klausimais apie šias ataskaitas, tačiau bendrovė dar neatsakė.
Kol „Fortinet“ nepateiks visiškai pataisytos „FortiOS“ laidos, administratoriams patariama laikinai išjungti pažeidžiamą „FortiCloud“ prisijungimo funkciją (jei ji įjungta), kad apsaugotų savo sistemas nuo atakų.
Norėdami išjungti FortiCloud prisijungimą, turite pereiti į Sistema -> Nustatymai ir perjungti „Leisti administracinį prisijungimą naudojant FortiCloud SSO” į Išjungta. Tačiau taip pat galite paleisti šias komandas iš komandinės eilutės sąsajos:
config system global
set admin-forticloud-sso-login disable
end
Laimei, kaip Fortinet paaiškina savo pirminiame patarime, FortiCloud vieno prisijungimo (SSO) funkcija, skirta atakoms, nėra įjungta pagal numatytuosius nustatymus, kai įrenginys nėra registruotas FortiCare, o tai turėtų sumažinti bendrą pažeidžiamų įrenginių skaičių.
Tačiau „Shadowserver“ vis tiek rado daugiau nei 25 000 „Fortinet“ įrenginių, kurie buvo atskleisti internete, kai gruodžio viduryje buvo įjungtas „FortiCloud SSO“. Šiuo metu daugiau nei pusė yra apsaugota, o „Shadowserver“ dabar stebi kiek daugiau nei 11 000, kurie vis dar pasiekiami internetu.
CISA taip pat įtraukė CVE-2025-59718 FortiCloud SSO autentifikavimo apėjimo trūkumą į savo aktyviai išnaudojamų pažeidžiamumų sąrašą, nurodydama federalinėms agentūroms per savaitę pataisyti.
Įsilaužėliai dabar taip pat aktyviai naudojasi kritiniu Fortinet FortiSIEM pažeidžiamumu su viešai prieinamu koncepcijos įrodymo išnaudojimo kodu, kuris gali leisti jiems vykdyti kodą su root teisėmis nepataisytuose įrenginiuose.
Nesvarbu, ar valote senus raktus, ar nustatote AI sugeneruoto kodo apsauginius turėklus, šis vadovas padės jūsų komandai saugiai kurtis nuo pat pradžių.
Gaukite sukčiavimo lapą ir pašalinkite spėliones iš paslapčių valdymo.
