Aktive Angriffe auf Schwachstelle in mehreren Fortinet-Produkten
Die US-Cybersicherheitsbehörde CISA warnt, dass eine bekannte Sicherheitslücke in den Fortinet-Produkten FortiOS, FortiWeb, FortiProxy und FortiSwitchManager aktiv ausgenutzt wird und fordert Nutzer und Dienstleister deshalb dringend dazu auf, die entsprechenden Gegenmaßnahmen und Patches zu priorisieren.
Bereits zum zweiten Mal innerhalb eines Monats warnt die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) vor einer ausgenutzten Schwachstelle in mehreren Fortinet-Produkten. In einer Empfehlung vom Dienstag (16.12.2025) fordert sie die Fortinet-Kunden dringend dazu auf, die Behebung der mit 9,1 als kritisch eingestuften Schwachstelle (CVE-2025-59718) zu priorisieren. Diese war von Fortinet bereits am 9. Dezember gemeldet worden und betrifft mehrere Versionen der Produkte Fortinet FortiOS, FortiWeb, FortiProxy und FortiSwitchManager. Laut den Informationen der CISA wurde sie bereits aktiv von Cyberkriminellen für Angriffe genutzt.
Ursache der Sicherheitslücke ist laut Fortinet eine "unsachgemäße Überprüfung der kryptografischen Signatur". Diese könne es "einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Anmeldeauthentifizierung über eine manipulierte SAML-Nachricht zu umgehen, wenn diese Funktion auf dem Gerät aktiviert ist." Fortinet weist darauf hin, dass die SSO-Anmeldefunktion zwar in den Standardeinstellungen deaktiviert sei, bei der Registrierung des Geräts über einen Administrator in FortiCare jedoch aktiviert werde, wenn das nicht explizit über den Schalter "Administrative Anmeldung über FortiCloud SSO zulassen" verhindert werde.
So blockieren und beheben Sie die Fortinet-Lücke
Eine detaillierte Auflistung der betroffenen Produkte und der verfügbaren Patches bietet Fortinet auf dieser Webseite. Sollten die Patches nicht sofort eingespielt werden können, empfiehlt der Anbieter, bis dahin die FortiCloud-Anmeldefunktion zu deaktivieren. "Um die FortiCloud-Anmeldung zu deaktivieren, gehen Sie zu 'System' -> 'Einstellungen' -> 'Administrative Anmeldung über FortiCloud SSO zulassen' und setzen Sie die Option auf 'Aus'. Oder geben Sie den folgenden Befehl in die CLI ein:
config system global
set admin-forticloud-sso-login disable
end."
"Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und stellt ein erhebliches Risiko für Bundesbehörden dar", schreibt die CISA in ihrer Warnung. Die Behörde fordert deshalb "alle betroffenen Organisationen nachdrücklich auf", Patch-Aktivitäten Priorität einzuräumen. Die CISA hat die Schwachstelle in ihren offiziellen Katalog als ausgenutzt bekannter Schwachstellen aufgenommen und verlangt von allen betroffenen Bundesbehörden, bis spätestens 23. Dezember die entsprechenden Patches zu implementieren.
Es ist das zweite Mal innerhalb eines Monats, dass die CISA die Regierungsbehörden mit einer einwöchigen Frist zum sofortigen Schließen einer Sicherheitslücke bei Fortinet-Produkten auffordert. Erst am 18. November hatte sie eine entsprechende Anordnung bezüglich einer FortiWeb-Sicherheitslücke erlassen. CRN hat Fortinet um eine Stellungnahme gebeten.
Dieser Artikel entstand in Zusammenarbeit mit unserem geschätzten US-Kollegen Kyle Alspach.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden