![cyber[contact]](assets/images/c/cybercontact-managed-cybersecurity-66b4955c.svg "cybercontact - managed cybersecurity"){kind=small}
Kritische Sicherheitslücken in mehreren Fortinet-Produkten (FortiCloud SSO) - aktiv ausgenutzt - Updates verfügbar
19. Dezember 2025
Beschreibung
In mehreren Fortinet-Produkten existieren kritische Sicherheitslücken im FortiCloud SSO-Login-Mechanismus. Die Schwachstellen ermöglichen es unauthentifizierten Angreifern, die FortiCloud SSO-Authentifizierung durch manipulierte SAML-Nachrichten zu umgehen und administrativen Zugriff zu
erlangen. Die Lücken werden bereits aktiv ausgenutzt.
CVE-Nummer(n): CVE-2025-59718, CVE-2025-59719
CVSS Base Score: 9.1
Auswirkungen
Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung die FortiCloud SSO-Anmeldung umgehen und vollen administrativen Zugriff auf betroffene Geräte erlangen. Die Schwachstellen werden bereits aktiv ausgenutzt. Sicherheitsforscher von Arctic Wolf und Huntress haben beobachtet, dass Angreifer nach erfolgreicher Kompromittierung Gerätekonfigurationen exportieren. Da Konfigurationsdateien gehashte Anmeldedaten enthalten können, besteht die Gefahr, dass diese offline geknackt werden.
Hinweis: Die FortiCloud SSO-Login-Funktion ist in den Werkseinstellungen standardmäßig deaktiviert. Wenn jedoch ein Administrator das Gerät über die GUI bei FortiCare registriert, wird FortiCloud SSO automatisch aktiviert, sofern die Option "Allow administrative login using FortiCloud SSO" nicht manuell
deaktiviert wird.
Betroffene Systeme
- FortiOS
- 7.6.0 bis 7.6.3
- 7.4.0 bis 7.4.8
- 7.2.0 bis 7.2.11
- 7.0.0 bis 7.0.17
- FortiProxy
- 7.6.0 bis 7.6.3
- 7.4.0 bis 7.4.10
- 7.2.0 bis 7.2.14
- 7.0.0 bis 7.0.21
- FortiSwitchManager
- 7.2.0 bis 7.2.6
- 7.0.0 bis 7.0.5
- FortiWeb
- 8.0.0
- 7.6.0 bis 7.6.4
- 7.4.0 bis 7.4.9
Nicht betroffen: FortiOS 6.4, FortiWeb 7.0, FortiWeb 7.2
Abhilfe
Als temporärer Workaround kann die FortiCloud SSO-Login-Funktion deaktiviert werden:
- Über GUI: System -> Settings -> "Allow administrative login using FortiCloud SSO" auf "Off" setzen
- Über CLI:
config system global
set admin-forticloud-sso-login disable
end
Falls eine Kompromittierung vermutet wird, sollten alle Firewall-Anmeldedaten
zurückgesetzt werden, da gehashte Credentials aus exportierten Konfigurationen
offline geknackt werden könnten.
Hinweis
Generell empfiehlt Cert.at und cyber[contact], sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Zusätzlich wird empfohlen, den Zugriff auf Management-Interfaces von Firewalls und VPN-Appliances auf vertrauenswürdige interne Netzwerke zu beschränken.
Informationsquelle(n):
Fortinet PSIRT Advisory FG-IR-25-647 (englisch):
https://www.fortiguard.com/psirt/FG-IR-25-647
Arctic Wolf Security Bulletin (englisch):
https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-
following-disclosure-cve-2025-59718-cve-2025-59719/
VulnCheck Blog (englisch):
https://www.vulncheck.com/blog/forticloud-sso-login-bypass