Krytyczne podatności w Fortinet | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

serwerownia

Krytyczne podatności w Fortinet

CSIRT CeZ ostrzega: pomimo załatania, wciąż są aktywnie wykorzystywane krytyczne podatności w urządzeniach Fortinet w mechanizmie Single Sign-On (SSO). Luki stanowią wysokie zagrożenie, ponieważ mogą prowadzić do nieautoryzowanego dostępu administracyjnego oraz trwałego kompromitowania systemu. Dlatego zalecamy wdrożenie pilnych działań mitygujących zagrożenie.

Charakterystyka podatności

  • Oznaczenie:
    • CVE‑2025‑59718
    • CVE‑2025‑59719
  • Obszar: Single Sign-On (SSO) 
  • Poziom zagrożenia: Wysoki

Podatności zostały załatane w nowej wersji oprogramowania Fortinet opublikowanej w grudniu 2025 r. Informacje o ich aktywnym wykorzystaniu potwierdza producent w oficjalnej analizie.

Jak działa podatność

Zaobserwowano przypadki nadużycia mechanizmu SSO, które umożliwiają atakującym uzyskanie dostępu do systemu. Po skutecznym uwierzytelnieniu przez SSO atakujący:

  • logują się do urządzeń z wykorzystaniem kont użytkowników,
  • tworzą lokalne konta administratora,
  • uzyskują trwały, uprzywilejowany dostęp do systemu.

Skuteczne wykorzystanie podatności może prowadzić do naruszenia poufności, integralności oraz bezpieczeństwa konfiguracji urządzenia.

Zaobserwowane wskaźniki kompromitacji (IOC)

Konta użytkowników wykorzystywane do logowania:

  • cloud-noc [at] mail.io (cloud-noc[at]mail[dot]io)
  • cloud-init [at] mail.io (cloud-init[at]mail[dot]io)

Należy spodziewać się, że adresy te mogą ulec zmianie w przyszłości.

Adresy IP wykorzystywane do logowania:

  • 104[.]28.244.115
  • 104[.]28.212.114
  • 37[.]1.209.19
  • 217[.]119.139.50

Atakujący logują się z wielu adresów IP i prawdopodobnie korzystają z adresów chronionych przez Cloudflare.

Tworzone lokalne konta administratora:

  • audit
  • backup
  • itadmin
  • secadmin
  • suport

Zalecamy weryfikację wszystkich kont administracyjnych pod kątem nieautoryzowanych lub nieznanych wpisów.

Działania zapobiegawcze

Rekomendujemy:

  • ograniczenie dostępu administracyjnego (najlepsza praktyka),
  • wyłączenie obejścia logowania do FortiCloud SSO,
  • bieżące monitorowanie komunikatów producenta,
  • pilne wdrażanie zaleceń oraz aktualizacji bezpieczeństwa.

Postępowanie w przypadku wykrycia IOC

W przypadku zidentyfikowania wskaźników kompromitacji (IOC) system oraz jego konfigurację należy traktować jako zagrożone. Zgodnie z zaleceniami Fortinet konieczne jest podjęcie działań naprawczych.