Când echipamentele de rețea devin subiectul unor probleme de autentificare, impactul se resimte rapid în cadrul unei organizații: Fortinet a lansat actualizări de securitate pentru a corecta două vulnerabilități critice care afectează FortiOS, FortiWeb, FortiProxy și FortiSwitchManager și care pot permite ocolirea autentificării FortiCloud SSO.
Problemele semnalate, urmărite drept CVE-2025-59718 pentru FortiOS, FortiProxy și FortiSwitchManager și CVE-2025-59719 pentru FortiWeb, provin dintr-o verificare insuficientă a semnăturii criptografice, exploatabilă printr-un mesaj SAML special conceput. Pe scurt, un atacator bine pregătit ar putea trimite o solicitare SAML malițioasă care păcălește mecanismul de verificare și obține acces administrativ prin FortiCloud SSO, dacă această funcție este activată. Fortinet avertizează că FortiCloud SSO nu este activată implicit pe dispozitivele neînregistrate la FortiCare, dar devine activă la înregistrare din interfața GUI, dacă administratorul nu dezactivează comutatorul Allow administrative login using FortiCloud SSO din pagina de înregistrare. Ca măsură temporară, administratorii ar trebui să dezactiveze această opțiune până la instalarea versiunilor cu corecțiile aplicate.
Pentru a dezactiva autentificarea FortiCloud din interfața grafică, navigați la System -> Settings și setați Allow administrative login using FortiCloud SSO la Off. Alternativ, din linia de comandă rulați:
config system global
set admin-forticloud-sso-login disable
end
În aceeași rundă de patch-uri, Fortinet a corectat și o vulnerabilitate care permite schimbarea parolei fără verificarea acesteia, identificată ca CVE-2025-59808, prin care un atacator care a obținut acces la un cont de utilizator poate reseta datele de autentificare fără a fi solicitată parola curentă. De asemenea a fost remediată o problemă prin care actorii rău intenționați puteau folosi hash-ul parolei în locul parolei propriu-zise pentru autentificare, descrisă ca CVE-2025-64471.
Contextul nu surprinde: vulnerabilitățile Fortinet sunt frecvent exploatate, uneori ca zero-day-uri, în atacuri cu ransomware sau operațiuni de spionaj cibernetic. Exemple recente includ compromiterea unei rețele a Ministerului Apărării din Olanda de către grupul Volt Typhoon, care a folosit un backdoor numit Coathanger după exploatarea unor defecte din FortiOS (CVE-2023-27997 și CVE-2022-42475). În august a fost corectat un bug de tip command injection în FortiSIEM (CVE-2025-25256) pentru care au apărut rapid coduri de exploit publice, la scurt timp după creșterea atacurilor brute-force asupra VPN-urilor Fortinet semnalată de GreyNoise. În noiembrie, Fortinet a raportat un zero-day în FortiWeb (CVE-2025-58034) folosit activ, după ce anterior a aplicat o corecție pentru un alt zero-day intens exploatat (CVE-2025-64446).
Tiparul recurent: dispozitive foarte răspândite, expuse la internet și cu funcții ce pot fi activate la înregistrare devin ținte atractive pentru atacatori. Pe termen scurt, revizuirea setărilor implicite, aplicarea patch-urilor și monitorizarea traficului SAML și a autentificărilor administrative sunt pași practici pe care echipele IT îi pot urma pentru a diminua riscul.
CVE-2025-59718 este unul dintre identificatorii menționați în actualizare. Astfel de cazuri subliniază importanța atenției asupra setărilor activate automat la înregistrare și asupra mecanismelor de autentificare centralizată; revizuirea fluxurilor SSO, testarea validării semnăturilor SAML și implementarea unei politici stricte de patch management pot preveni accesul neautorizat. Este recomandat să verificați periodic dispozitivele Forti pentru înregistrări la FortiCare și să puneți în aplicare proceduri care să dezactiveze sau să restricționeze funcțiile administrative expuse. Ai verificat recent setările FortiCloud și starea de patch a echipamentelor tale?
Fii primul care comentează