{"id":652273,"date":"2025-12-17T08:47:11","date_gmt":"2025-12-17T08:47:11","guid":{"rendered":"https:\/\/www.europesays.com\/de\/652273\/"},"modified":"2025-12-17T08:47:11","modified_gmt":"2025-12-17T08:47:11","slug":"jetzt-patchen-angreifer-umgehen-authentifizierung-in-fortinet-produkten","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/652273\/","title":{"rendered":"Jetzt patchen! Angreifer umgehen Authentifizierung in Fortinet-Produkten"},"content":{"rendered":"<p>Wenn in FortiOS, FortiProxy, FortiSwitchManager und FortiWeb der SSO-Login aktiviert ist, sind Systeme verwundbar. Zurzeit nutzen Angreifer zwei \u201e<strong>kritische<\/strong>\u201c Sicherheitsl\u00fccken in diesem Kontext aus und attackieren PCs.<\/p>\n<p>        Weiterlesen nach der Anzeige<\/p>\n<p>Gef\u00e4hrliche Schwachstellen<\/p>\n<p>Standardm\u00e4\u00dfig ist die Authentifizierung via SSO nicht aktiv. Admins sollten z\u00fcgig pr\u00fcfen, ob sie SSO nutzen. Ist das der Fall, sollten sie die <a href=\"https:\/\/www.heise.de\/news\/Fortinet-Patchday-SSO-Login-in-vielen-Produkten-umgehbar-11109878.html\" rel=\"nofollow noopener\" target=\"_blank\">seit wenigen Tagen verf\u00fcgbaren Sicherheitsupdates installieren<\/a>. Geschieht das nicht, setzen Angreifer mit pr\u00e4parierten SAML-Nachrichten an den L\u00fccken (CVE-2025-59718, CVE-2025-59719) an, umgehen so die Authentifizierung und greifen auf Appliances zu.<\/p>\n<p>Die verwundbaren Versionen und die Sicherheitsupdates <a href=\"https:\/\/fortiguard.fortinet.com\/psirt\/FG-IR-25-647\" rel=\"external noopener nofollow\" target=\"_blank\">listet Fortinet in einer Warnmeldung auf<\/a>. FortiOS 6.4, FortiWeb 7.0 und 7.2 sind von den Schwachstellen nicht betroffen. Ist eine Installation nicht sofort m\u00f6glich, m\u00fcssen Admins zum Schutz von Systemen den SSO-Login tempor\u00e4r deaktivieren. Das funktioniert etwa \u00fcber das Command-Line-Interface mit diesen Befehlen:<\/p>\n<p>config system global<\/p>\n<p>set admin-forticloud-sso-login disable<\/p>\n<p>end<\/p>\n<p>Hintergr\u00fcnde zu Angriffen<\/p>\n<p>        Weiterlesen nach der Anzeige<\/p>\n<p><a href=\"https:\/\/arcticwolf.com\/resources\/blog\/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719\/\" rel=\"external noopener nofollow\" target=\"_blank\">Vor den Attacken warnen Sicherheitsforscher von Artic Wolf in einem Beitrag<\/a>. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. In ihrem Beitrag f\u00fchren die Sicherheitsforscher verschiedene Parameter wie IP-Adressen auf, an denen Admins bereits attackierte Instanzen erkennen k\u00f6nnen. <\/p>\n<p>Sind Attacken erfolgt, sollten Admins neben der Installation des Patches alle Zugangsdaten zur\u00fccksetzen. Was Angreifer konkret nach einer erfolgreichen Attacke anstellen, ist derzeit unbekannt. Allgemein gilt, dass man Zugriffe von au\u00dfen \u00fcber Firewallregeln und VPN-Tunnel reglementieren sollte.<\/p>\n<p>(<a class=\"redakteurskuerzel__link\" href=\"https:\/\/www.heise.de\/news\/mailto:des@heise.de\" title=\"Dennis Schirrmacher\" rel=\"nofollow noopener\" target=\"_blank\">des<\/a>)<\/p>\n<p>\n      Dieser Link ist leider nicht mehr g\u00fcltig.\n    <\/p>\n<p>Links zu verschenkten Artikeln werden ung\u00fcltig,<br \/>\n      wenn diese \u00e4lter als 7\u00a0Tage sind oder zu oft aufgerufen wurden.\n    <\/p>\n<p><strong>Sie ben\u00f6tigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen \u2013 ohne Verpflichtung!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"Wenn in FortiOS, FortiProxy, FortiSwitchManager und FortiWeb der SSO-Login aktiviert ist, sind Systeme verwundbar. Zurzeit nutzen Angreifer zwei&hellip;\n","protected":false},"author":2,"featured_media":652274,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[14775,29,18795,18796,30,196,10309,190,189,1687,4970,194,191,1314,193,192],"class_list":{"0":"post-652273","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-cyberangriff","9":"tag-deutschland","10":"tag-exploit","11":"tag-fortinet","12":"tag-germany","13":"tag-it","14":"tag-patchday","15":"tag-science","16":"tag-science-technology","17":"tag-security","18":"tag-sicherheitsluecken","19":"tag-technik","20":"tag-technology","21":"tag-updates","22":"tag-wissenschaft","23":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115734042693628101","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/652273","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=652273"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/652273\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/652274"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=652273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=652273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=652273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}