- Hacker nutzen den Fortinet FortiGate SSO-Fehler aus, um Firewall-Konfigurationsdaten zu stehlen
- FortiOS 7.4.10-Patch unvollständig; Neue Versionen sind geplant, um die Sicherheitslücke vollständig zu beheben
- Gestohlene Firewall-Daten legen Netzwerktopologie, VPNs und Sicherheitsregeln für weitere Angriffe offen
Offenbar nutzen Cyberkriminelle eine Lücke in einem aktuellen Patch für Fortinet FortiGate-Instanzen aus und nutzen die Schwachstelle aus, um Administratorkonten zu erstellen und zu stehlen Firewall Konfigurationsdaten.
Sicherheitsforscher von Arctic Wolf sagten, sie hätten gesehen, wie Hacker einen Fehler in der Single-Sign-On-Funktion (SSO) ausnutzten, um Konten zu erstellen und Firewall-Konfigurationen zu exportieren, höchstwahrscheinlich über ein automatisiertes Skript.
Die Aktivität ähnelt einer Aktivität, die im Dezember beobachtet wurde, als Bedrohungsakteure zwei Schwachstellen ausnutzten – CVE-2025-59718 und CVE-2025-59719.
Neue Versionen in der Pipeline
„Obwohl die Parameter der ersten Zugangsdetails nicht vollständig bestätigt wurden, weist die aktuelle Kampagne Ähnlichkeit mit einer von Arctic Wolf im Dezember 2025 beschriebenen Kampagne auf“, sagte Arctic Wolf in seinem Bericht.
„Derzeit ist nicht bekannt, ob die zuletzt beobachtete Bedrohungsaktivität vollständig durch den Patch abgedeckt ist, der ursprünglich CVE-2025-59718 und CVE-2025-59719 adressierte.“
Fortinet hat die Berichte offenbar bestätigt und erklärt, dass FortiOS Version 7.4.10 die oben genannte Schwachstelle nicht vollständig behebt.
Mehrere Releases sind bereits in Vorbereitung, nämlich 7.4.11, 7.6.6 und 8.0.0, die dieses Problem vollständig beheben sollten. Die Veröffentlichung dieser Versionen ist in wenigen Tagen geplant. Laut Shadowserver-Daten gibt es mehr als 10.000 anfällige Endpunkte.
Die Angriffe sind ziemlich gefährlich. Firewall-Konfigurationsdaten offenbaren die vollständige Netzwerktopologie, Sicherheitsregeln, VPN-Einstellungen und Authentifizierungsmechanismen und ermöglichen es Kriminellen, exponierte Dienste zu identifizieren, Kontrollen zu umgehen, sich seitlich zu bewegen und den Zugriff über VPNs oder vertrauenswürdige Verbindungen aufrechtzuerhalten oder wiederzugewinnen.
Die Daten können auch für Angriffe auf angeschlossene Partnernetzwerke genutzt oder an andere Bedrohungsakteure verkauft werden.
Wenn Ihr Unternehmen gefährdet ist, sollten Sie erwägen, die FortiCloud-Anmeldefunktion vorübergehend zu deaktivieren, bis Fortinet die Probleme behoben hat. Sie können auch diese Befehle ausführen:
Konfigurationssystem global
Legen Sie die Deaktivierung von admin-forticloud-sso-login fest
Ende
Über BleepingComputer
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
