Fortinet warnt seine Kunden vor kritischen Sicherheitslücken bei der FortiCloud-SSO-Anmeldeauthentifizierung. Es gibt zwei kritische Schwachstellen in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager, die es Angreifern ermöglichen könnten, die FortiCloud-SSO-Authentifizierung zu umgehen.
Fortinet hat zum 9. Dezember 2025 Sicherheitsupdates zum Schließen der beiden kritischen Schwachstellen in FortiOS, FortiWeb, FortiProxy und FortiSwitchManager zu beheben. Laut Sicherheitsmeldung handelt es sich um die beiden Schwachstellen:
- CVE-2025-59718: Eine unsachgemäße Überprüfung der Schwachstelle der kryptografischen Signatur in den nachfolgend genannten Fortinet-Versionen ermöglicht es einem nicht authentifizierten Angreifer, die FortiCloud-SSO-Anmeldeauthentifizierung über eine manipulierte SAML-Antwortnachricht zu umgehen.
- CVE-2025-59719: Eine unsachgemäße Überprüfung der Schwachstelle der kryptografischen Signatur in Fortinet FortiWeb 8.0.0, FortiWeb 7.6.0 bis 7.6.4 und FortiWeb 7.4.0 bis 7.4.9 kann es einem nicht authentifizierten Angreifer ermöglichen, die FortiCloud-SSO-Anmeldeauthentifizierung über eine manipulierte SAML-Antwortnachricht zu umgehen.
Betroffen von CVE-2025-59718 sind FortiOS 7.6.0 bis 7.6.3, FortiOS 7.4.0 bis 7.4.8, FortiOS 7.2.0 bis 7.2.11, FortiOS 7.0.0 bis 7.0.17, FortiProxy 7.6.0 bis 7.6.3, FortiProxy 7.4.0 bis 7.4.10, FortiProxy 7.2.0 bis 7.2.14, FortiProxy 7.0.0 bis 7.0.21, FortiSwitchManager 7.2.0 bis 7.2.6, FortiSwitchManager 7.0.0 bis 7.0.5.
Fortinet schreibt jedoch seiner veröffentlichten Sicherheitsempfehlung, dass die anfällige FortiCloud-Funktion standardmäßig nicht aktiviert ist, wenn das Gerät nicht bei FortiCare registriert ist. Bleeping Computer hat hier noch einige Informationen dazu.
MVP: 2013 – 2016
"Fortinet schreibt jedoch seiner veröffentlichten Sicherheitsempfehlung, dass die anfällige FortiCloud-Funktion standardmäßig nicht aktiviert ist, wenn das Gerät nicht bei FortiCare registriert ist."
Müssen ironische Absätze nicht entsprechend gekennzeichnet sein??
Wenn man kein FortiCare hat, ist man also sicher….
Bevor jetzt die Fortinet Hater wieder aus ihren Löchern kommen: Ich hätte gerne geeignete Alternativen, die keine Schwachstellen haben. Ich hätte gerne eine funktionierende NGFW mit AV, IDS/IPS, App Control, Web Filter, Transparenten Proxy und zentralem Management. Da fällt mir nur Palo Alto ein in der Größenordnung, dass man mehrere 100G Anbindungen hat. Und die haben ihre ganz eigenen Probleme, kochen doch eben auch nur mit Wasser.
Sophos, F5
Lancom
Watchguard
Gruß
Check point
„ Fortinet schreibt jedoch seiner veröffentlichten Sicherheitsempfehlung, dass die anfällige FortiCloud-Funktion standardmäßig nicht aktiviert ist, wenn das Gerät nicht bei FortiCare registriert ist."
Finde ich unglücklich formuliert und lässt Spielraum für Interpretationen. Fortinet schreibt das in deren Beitrag auch eigentlich unmissverständlich, daher am besten immer direkt auf diese beziehen und nicht als irgendwelchen Drittquellen.
Fakt ist, die Anmeldung über FortiCloud SSO ist standardmäßig nicht eingeschaltet, sie wird jedoch aktiviert, wenn man FortiCare über die GUI registriert, während der Registrierung wird ein Haken angezeigt den man deaktivieren muss, um damit FortiCloud SSO nicht automatisch nach der Registrierung aktiv wird. Klingt gleich etwas weniger brisant, auch wenn es nicht so schön ist, dass es ein Opt-Out ist. Aber das passiert nur, wenn man über die FortiOS GUI FortiCare registriert, wenn man das über das Portal bei Fortinet macht und FortiOS synchronisiert sich später mit dem Portal, dann passiert das nicht. Falls man es doch aktiviert hat, kann man es mit folgendem Kommando auf der CLI deaktivieren:
config system global
set admin-forticloud-sso-login disable
end
alternativ über die GUI: System -> Settings -> "Allow administrative login using FortiCloud SSO"
Im besten Fall natürlich auf eine Version aktualisieren die nicht betroffen ist.