25.000 Fortinet-apparaten met FortiCloud SSO toegankelijk vanaf internet

In dit artikel:

Onderzoek van The Shadowserver Foundation toont dat ruim 25.000 Fortinet-apparaten met FortiCloud SSO vanaf het internet bereikbaar zijn, waaronder bijna 400 in Nederland, waardoor ze doelwit kunnen worden van aanvallen. Fortinet-apparaten zijn momenteel actief aangevallen via twee kritieke kwetsbaarheden (CVE-2025-59718 en CVE-2025-59719) in de FortiCloud SSO-authenticatie: cryptografische handtekeningen worden niet juist gecontroleerd, waardoor met speciaal vervormde SAML-berichten de SSO-login kan worden omzeild. Het Nationaal Cyber Security Centrum waarschuwde vorige week dat dit ongeautoriseerde toegang tot gevoelige API-gegevens en netwerkbronnen mogelijk maakt.

Fortinet heeft patches uitgebracht voor FortiOS, FortiProxy, FortiSwitchManager en FortiWeb; securitybedrijf Arctic Wolf meldde dat misbruik al binnen drie dagen na publicatie van de updates plaatsvond. Shadowserver benadrukt dat toegankelijkheid vanaf internet niet automatisch kwetsbaarheid betekent, maar meldt dat zij getroffen organisaties zullen informeren en adviseert dringend om de updates te installeren of te verifiëren. De impactscore is 9,1/10.