Fortinet FortiGate under angreb: Kritiske SAML SSO-bypass udnyttes
Trusselsaktører har påbegyndt aktive angreb mod Fortinet FortiGate-enheder ved at udnytte to kritiske sårbarheder, der blev offentliggjort for mindre end en uge siden. Angrebene retter sig mod SAML-baseret Single Sign-On (SSO) og gør det muligt at omgå autentificering på berørte enheder.
Det skriver en række medier, herunder The Hacker News.
De to sårbarheder, EUVD-2025-202198 / CVE-2025-59718 og EUVD-2025-202191
/ CVE-2025-59719, har begge en CVSS-score på 9,8 og EPSS-scores på hhv. 0,09 og 0,1 pct. Fejlene giver mulighed for unauthenticated authentication bypass via manipulerede SAML-meddelelser, hvis FortiCloud SSO-funktionen er aktiveret.
Selvom FortiCloud SSO som udgangspunkt er deaktiveret, aktiveres den automatisk under FortiCare-registrering, medmindre administratorer manuelt fravælger indstillingen “Allow administrative login using FortiCloud SSO”.
Angreb i praksis
The Hacker News skriver, at der ifølge Arctic Wolf Labs er observeret angreb siden den 12. december 2025. Angriberne anvender IP-adresser fra hostingudbydere som The Constant Company LLC, Bl Networks og Kaopu Cloud HK Limited til at udføre ondsindede SSO-loginforsøg mod admin-kontoen. Efter succesfuld login eksporterer angriberne enhedskonfigurationer via GUI til de samme IP-adresser.
Arctic Wolf vurderer, at kampagnen stadig er i sin indledende fase og primært opportunistisk, dvs. der skydes med spredehagl.. Der er endnu ingen indikationer på, at angrebene kan tilskrives en specifik trusselsgruppe.
Eksporterede konfigurationer indeholder typisk hashed credentials. Selvom hashing giver en vis beskyttelse, er det kendt, at trusselsaktører kan knække svage hashes offline, især hvis adgangskoder er baseret på simple mønstre eller ordlister.
Det anbefales, at patches installeres - Fortinet har frigivet opdateringer til FortiOS, FortiWeb, FortiProxy og FortiSwitchManager.
Hvis ikke patch er mulig at gennemføre, anbefales det at FortiCloud SSO deaktiveres indtil opdateringer er implementeret. Derudover anbefales det at begrænse adgang til administrationsinterfaces til interne, betroede netværk. Hvis der findes IoC’er, bør organisationer antage at de har været kompromitteret, hvorfor alle hashed credentials i eksporterede konfigurationer bør nulstilles.
Den amerikanske CISA har tilføjet EUVD-2025-202198 / CVE-2025-59718 til sit katalog over kendte udnyttede sårbarheder med en deadline for føderale myndigheders håndtering senest den 23. december 2025.
Læs mere
- https://thehackernews.com/2025/12/fortinet-fortigate-under-active-attack.html
- https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/
- https://www.bleepingcomputer.com/news/security/hackers-exploit-newly-patched-fortinet-auth-bypass-flaws/
- https://securityaffairs.com/185748/security/hackers-are-exploiting-critical-fortinet-flaws-days-after-patch-release.html
- https://www.securityweek.com/in-the-wild-exploitation-of-fresh-fortinet-flaws-begins/