Krytyczne luki w Fortinet są już aktywnie wykorzystywane — atakujący obchodzą uwierzytelnianie SSO, a CISA wydaje pilne ostrzeżenie. Sprawdź, czy Twoja infrastruktura jest bezpieczna.
Co się wydarzyło?
Atakujący bardzo szybko zaczęli wykorzystywać dwie niedawno załatane krytyczne podatności w produktach Fortinet, które umożliwiają obejście uwierzytelniania w mechanizmie FortiCloud Single Sign-On (SSO). Luki pozwalają na nieautoryzowany dostęp do urządzeń takich jak FortiGate oraz inne powiązane rozwiązania, przy użyciu złośliwie spreparowanych logowań SAML.
Podatności zostały oznaczone jako:
- CVE-2025-59718 (CVSS: 9,8)
- CVE-2025-59719 (CVSS: 9,8)
Obie umożliwiają nieuwierzytelnionemu atakującemu obejście mechanizmu SSO, o ile w danym środowisku włączone jest FortiCloud SSO.
Aktywne wykorzystanie luk w rzeczywistych atakach
Choć Fortinet opublikował poprawki 9 grudnia 2025 r., badacze bezpieczeństwa odnotowali pierwsze rzeczywiste włamania już 12 grudnia. W zaobserwowanych incydentach atakujący:
- wykorzystywali złośliwe logowania SAML,
- uzyskiwali dostęp do konta „admin”,
- eksportowali konfigurację urządzenia, co może stanowić wstęp do dalszych ataków lub trwałego kompromitowania środowiska.
Ataki były wymierzone w urządzenia, na których FortiCloud SSO było aktywne. Co istotne, funkcja ta jest domyślnie wyłączona, ale często zostaje automatycznie włączona podczas rejestracji FortiCare, jeśli administratorzy nie zrezygnują z tej opcji.
Charakter kampanii i możliwa eskalacja
Z dotychczasowych obserwacji wynika, że ataki pochodziły z niewielkiej liczby dostawców hostingu, a kampania ma charakter oportunistyczny i selektywny.
Eksperci ostrzegają jednak, że sytuacja może się szybko zmienić, gdy więcej grup przestępczych dostrzeże możliwość łatwego obejścia uwierzytelniania w popularnych urządzeniach brzegowych.
Reakcja CISA i konsekwencje dla organizacji
W związku z aktywnym wykorzystywaniem podatności, amerykańska agencja CISA dodała CVE-2025-59718 do katalogu Known Exploited Vulnerabilities (KEV) 16 grudnia 2025 r.
To już trzeci przypadek dodania podatności Fortinet do KEV w ciągu około miesiąca, co wyraźnie pokazuje skalę i częstotliwość zagrożeń związanych z tymi produktami.
Agencje Federal Civilian Executive Branch (FCEB) są prawnie zobowiązane do wdrożenia wymaganych środków zaradczych do 23 grudnia 2025 r.
Choć obowiązek ten nie dotyczy bezpośrednio innych organizacji, zalecenia CISA powinny być traktowane jako pilne ostrzeżenie również dla sektora komercyjnego.
Rekomendacje Arkanet
Organizacjom korzystającym z rozwiązań Fortinet zalecamy:
- Natychmiastową aktualizację do wersji zawierających poprawki bezpieczeństwa.
- Tymczasowe wyłączenie FortiCloud SSO, jeśli nie jest ono niezbędne.
- Weryfikację, czy FortiCloud SSO nie zostało automatycznie włączone podczas rejestracji FortiCare.
- Przegląd logów pod kątem nietypowych logowań SAML, zwłaszcza do kont uprzywilejowanych.
- Audyt konfiguracji i rozważenie dodatkowych mechanizmów ochrony dostępu administracyjnego.
Podatności w urządzeniach brzegowych są od lat jednym z najczęściej wykorzystywanych wektorów ataku — szybka reakcja w tym przypadku ma kluczowe znaczenie dla bezpieczeństwa całej infrastruktury.
Źródła:
- Fortinet FortiGate Under Active Attack Through SAML SSO Authentication Bypass
- Multiple Fortinet Products' FortiCloud SSO Login Authentication Bypass
- CISA Adds One Known Exploited Vulnerability to Catalog
- Known Exploited Vulnerabilities Catalog
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
