SK-CERT Bezpečnostné varovanie V20260122-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.8 |
| Identifikátor |
| Fortinet produkty – nedostatočná oprava kritickej bezpečnostnej zraniteľnosti |
| Popis |
| Administrátori zariadení FORTIGATE varujú pred nedostatočnou opravou kritickej zraniteľnosti CVE-2025-59718 vo FORTIOS, ktorú útočníci aktívne zneužívajú na kompromitáciu zariadení a vytváranie lokálnych administrátorských účtov. Zraniteľnosť by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených SAML správ mohol zneužiť na obídenie FortiCloud SSO a získanie neoprávneného prístupu a úplnej kontroly nad systémom. FortiCloud SSO nie je aktívna v predvolenej inštalácii, ale dochádza k jej aktivácii pri registrácii zariadenia do FortiCare. Aktivity zachytené vo zverejnených logoch vykazujú vysokú podobnosť s priebehom zneužitia zraniteľnosti zdokumentovaným výskumníkmi z ARCTIC WOLF. V súčasnosti nie sú dostupné aktualizácie na úplné odstránenie zraniteľnosti. |
| Dátum prvého zverejnenia varovania |
| 9.12.2025 |
| CVE |
| CVE-2025-59718 |
| IOC |
| E-mail cloud-init[at]mail[.]io cloud-noc[at]mail[.]io IP address 104.28.212[.]114 217.119.139[.]50 37.1.209[.]19 37.1.209[.]19 Account name secadmin itadmin support backup remoteadmin audit |
| Zasiahnuté systémy |
| FortiOS FortiProxy FortiSwitchManager FortiWeb Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE |
| Následky |
| Úplné narušenie dôvernosti, integrity a dostupnosti systému Získanie úplnej kontroly nad zariadením |
| Odporúčania |
| Administrátorom do vydania aktualizácií odporúčame zraniteľnosť mitigovať dočasnou deaktiváciou prihlasovania prostredníctvom FortiCloud SSO. Funkciu možno deaktivovať prostredníctvom webového manažmentového rozhrania alebo CLI (Command Line Interface). Taktiež odporúčame vykonať audit používateľských účtov a preveriť dostupné logy na prítomnosť pokusov o zneužitie zraniteľnosti. |
« Späť na zoznam
