Beheerders melden aanvallen op volledig gepatchte Fortinet FortiGate-firewalls

In dit artikel:

Volledig gepatchte FortiGate-firewalls worden aangevallen, melden systeembeheerders na een Reddit-melding. Beheerders zagen activiteiten die lijken op misbruik van een recent opgelost kritiek lek (CVE-2025-59718) waarmee authenticatie te omzeilen zou zijn. Securitybedrijf Arctic Wolf meldde dat het sinds 15 januari nieuwe aanvallen op FortiGate-apparaten observeert.

Aanvallers voeren configuratiewijzigingen door: ze maken backdoor-accounts, zetten VPN-toegang voor die accounts aan en halen firewallconfiguraties weg. Arctic Wolf noemt de situatie "developing" en belooft meer technische details zodra die beschikbaar zijn. De eerste melders gaven aan dat Fortinet tegenover hen heeft bevestigd dat CVE-2025-59718 ondanks eerdere patches nog steeds aanwezig is en dat er nieuwe updates in ontwikkeling zijn. Tot nu toe is er echter geen officieel beveiligingsbulletin van Fortinet verschenen.

Belangrijke gevolgen zijn blijvende toegang en het lekken van firewallconfiguraties; beheerders worden geadviseerd alert te zijn op onbekende accounts, VPN-configuraties en onverklaarbare wijzigingen in logs.