Datenschutz & Sicherheit
Fortinet kämpft weiter gegen laufende SSO-Admin-Attacken
Noch immer haben es Angreifer auf FortiOS, FortiManager und FortiAnalyzer mit aktiviertem FortiCloud-SSO-Log-in abgesehen und erstellen sich Admin-Accounts. So können sie die volle Kontrolle über Geräte erlangen. Ein funktionierender Sicherheitspatch ist bislang nicht verfügbar. Geräte sollen aber durch eine serverseitige Einstellung durch Fortinet vorerst geschützt sein.
Weiterlesen nach der Anzeige
Historie
FortiCloud-SSO ist standardmäßig nicht aktiv. Achtung: Registrieren Admins Geräte über FortiCare, wird SSO automatisch aktiviert. Schon seit vergangenem Dezember kämpft Fortinet mit „kritischen“ SSO-Lücken (CVE-2025-59718, CVE-2025-59719) und hat Sicherheitspatches veröffentlicht. Seitdem gibt es auch Attacken.
Im Januar stellte sich dann heraus, dass Angreifer die Sicherheitsupdates umgehen und Geräte weiter attackieren. Nun hat Fortinet einen Beitrag mit Hintergründen zu den laufenden Angriffen veröffentlicht. Darin finden Admins unter anderem Hinweise (Indicators of Compromise, IoC), woran sie attackierte Instanzen erkennen können.
Zusätzlich hat das Unternehmen eine Warnmeldung publiziert und darin im Kontext der SSO-Attacken eine neue Zero-Day-Sicherheitslücke (CVE-2026-24858 „kritisch“) eingetragen.
Geräte laut Fortinet temporär geschützt
Angreifer setzen mit präparierten SAML-Anfragen an der Lücke an und umgehen die Authentifizierung. Fortinet weist darauf hin, dass sie derzeit Attacken im Kontext von FortiCloud-SSO beobachtet haben, das Sicherheitsproblem gelte aber für alle SAML-SSO-Implementierungen.
Sicherheitspatches sind Fortinet zufolge in Entwicklung. Wann sie veröffentlicht werden, ist aber bislang unklar. Um die Gefahr bis zum Erscheinen von Updates einzudämmen, gibt Fortinet an, den FortiCloud-SSO-Zugriff für verwundbare Geräte gesperrt zu haben. Demzufolge müssen Admins, wie zuvor empfohlen, den SSO-Login nicht mehr manuell deaktivieren.
Weiterlesen nach der Anzeige
FortiAnalyzer 6.4, FortiManager 6.4 und FortiOS 6.4. sind dem Unternehmen zufolge nach jetzigem Kenntnisstand nicht verwundbar. FortiProxy 7.0 und 7.2 bekommen keine Sicherheitsupdates. An dieser Stelle ist ein Upgrade nötig. Die Anfälligkeit von FortiSwitch Manager und FortiWeb werde derzeit geprüft. Weitere Informationen zu den angekündigten Sicherheitspatches finden sich in der Warnmeldung.
(des)