Podatności w oprogramowaniu FortiOS, FortiProxy, FortiWeb i FortiSwitchManager.

Zespół CERT Polska informuje o aktywnie wykorzystywanych podatnościach CVE-2025-59718 oraz CVE-2025-59719 dotyczących oprogramowania FortiOS, FortiProxy, FortiWeb i FortiSwitchManager.

Podatności umożliwiają ominięcie uwierzytelniania przy włączonym logowaniu FortiCloud SSO poprzez wysłanie spreparowanej wiadomości SAML. Domyślnie funkcja FortiCloud SSO jest wyłączona. Jeśli jednak administrator zarejestruje urządzenie w FortiCare z poziomu GUI, logowanie FortiCloud SSO zostanie automatycznie włączone, chyba że podczas rejestracji odznaczy opcję „Allow administrative login using FortiCloud SSO”.

Informacje dotyczące podatnych wersji oraz dostępnych aktualizacji znajdują się na stronie producenta https://fortiguard.fortinet.com/psirt/FG-IR-25-647

Rekomendacje CERT Polska:

• Niezwłoczna aktualizacja oprogramowania do najwyższej dostępnej wersji.

• Weryfikacja aktywności logowań użytkowników oraz przeprowadzenie audytu istniejących kont.

• W przypadku niewykorzystywania logowania SSO zaleca się jego wyłączenie. Można to zrobić zarówno z poziomu GUI, jak i poleceniem w terminalu:

  config system global

  set admin-forticloud-sso-login disable

  end

W przypadku wykrycia kompromitacji urządzenia zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie https://incydent.cert.pl

Więcej informacji o podatności, przykładowych logach z jej wykorzystania oraz niektórych adresach IP używanych przez atakujących można znaleźć na stronie: https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/