Aktive Angriffe auf FortiGate über FortiCloud SSO
Derzeit werden gezielte Cyberangriffe auf FortiGate-Firewalls beobachtet, bei denen Schwachstellen im FortiCloud-SSO-Mechanismus ausgenutzt werden. Durch manipulierte SAML-Anmeldeanfragen gelingt es Angreifern, die Authentifizierung zu umgehen und administrativen Zugriff auf betroffene Systeme zu erlangen.
Warum ist diese Schwachstelle besonders kritisch?
Ausgangspunkt der Angriffe sind mehrere hochkritische Sicherheitslücken, die von Fortinet mit einem CVSS-Score von 9,8 bewertet wurden. Diese Einstufung verdeutlicht, dass eine Ausnutzung ohne Benutzerinteraktion möglich ist und schwerwiegende Auswirkungen auf produktive Umgebungen haben kann. Die Schwachstellen ermöglichen eine Umgehung der Authentifizierung über speziell präparierte SAML-Nachrichten, sofern die Anmeldung über FortiCloud Single Sign-On (SSO) aktiviert ist.
Nach Erkenntnissen von Sicherheitsforschern werden die Schwachstellen seit mindestens dem 12. Dezember 2025 aktiv ausgenutzt. Die Angriffe richten sich gegen mehrere Produktfamilien, darunter FortiOS, FortiWeb, FortiProxy und FortiSwitchManager.
Automatisch aktiviertes SSO als Angriffsvektor
Fortinet weist darauf hin, dass FortiCloud SSO in der Standardkonfiguration deaktiviert ist. In vielen Umgebungen wird die Funktion jedoch im Zuge der Registrierung über FortiCare automatisch aktiviert, sofern sie nicht ausdrücklich abgeschaltet wird. Diese Konstellation bildet die Grundlage der aktuell beobachteten Angriffe.
Da die Schwachstelle den Authentifizierungsmechanismus der betroffenen Systeme betrifft, können Angreifer im Erfolgsfall administrative Rechte auf sicherheitskritischen Geräten wie Firewalls erlangen. Die analysierten Logdaten zeigen erfolgreiche Administrator-Anmeldungen über den SSO-Mechanismus, häufig unter Nutzung des Standardkontos „admin“. Unmittelbar nach dem Zugriff laden Angreifer die vollständige Systemkonfiguration über die Verwaltungsoberfläche herunter.
Risiken durch kompromittierte Konfigurationsdaten
Der Abfluss von Konfigurationsdateien stellt ein erhebliches Sicherheitsrisiko dar. Die Dateien enthalten unter anderem sicherheitsrelevante Einstellungen, Zertifikate sowie gehashte Zugangsdaten. Auch wenn Kennwörter nicht im Klartext gespeichert sind, kann eine Offline-Analyse bei schwachen Passwörtern zu einer nachträglichen Kompromittierung weiterer Systeme führen.
Die beobachteten Angriffe reihen sich in bekannte Kampagnen ein, bei denen gezielt Management-Schnittstellen von Firewalls und VPN-Gateways adressiert werden. Aufgrund der nachhaltigen Auswirkungen kompromittierter Konfigurationen ist von einer langfristigen Gefährdung auszugehen.
Sicherheitsupdates verfügbar
Fortinet stellt bereits korrigierte Versionen für alle unterstützten Produktlinien bereit. Für FortiOS 7.6 ist mindestens Version 7.6.4 erforderlich, ältere Release-Zweige müssen auf die jeweils von Fortinet genannten Patchstände aktualisiert werden. Produkte auf FortiOS 6.4 sowie FortiWeb 7.0 und 7.2 gelten nach aktuellem Kenntnisstand als nicht betroffen.
Bis zur vollständigen Aktualisierung empfiehlt Fortinet, die FortiCloud-SSO-Anmeldung vorübergehend zu deaktivieren. Dies kann über die Systemeinstellungen im GUI oder per CLI durch Deaktivierung der Option admin-forticloud-sso-login erfolgen.
- FortiCloud-SSO temporär deaktivieren, sofern die Funktion nicht zwingend benötigt wird, und Management-Zugriffe auf interne Netze beschränken.
- Betroffene Systeme umgehend auf die von Fortinet bereitgestellten Patchstände aktualisieren und Hinweise des Herstellers regelmäßig prüfen.
- Bei Verdacht auf Kompromittierung sämtliche Administrator-Zugangsdaten zurücksetzen und Konfigurations- sowie Zugriffsprotokolle auf Auffälligkeiten überprüfen.