'Kritieke Fortinet-lekken 3 dagen na bekendmaking misbruikt bij aanvallen'

In dit artikel:

Beveiligingsbedrijf Arctic Wolf meldde dat twee kritieke kwetsbaarheden (CVE-2025-59718 en CVE-2025-59719) in meerdere Fortinet-producten vorige week al werden misbruikt, drie dagen na openbaarmaking. De lekken zitten in FortiOS, FortiProxy, FortiSwitchManager en FortiWeb en ontstaan doordat de cryptografische handtekening van de FortiCloud SSO-login niet correct wordt gevalideerd. Met een speciaal vervormde SAML-bericht kan een aanvaller de SSO-authenticatie omzeilen wanneer die functie is ingeschakeld. Fortinet publiceerde op 9 december patches; Arctic Wolf rapporteerde de eerste exploitgevallen op 12 december. Het NCSC waarschuwde dat ongeautoriseerde toegang tot gevoelige API-gegevens en netwerkbronnen mogelijk is; de kwetsbaarheden kregen een 9,1/10 score. Bij geconstateerde aanvallen werden apparaatconfiguraties buitgemaakt — inclusief gehashte inloggegevens die offline gekraakt kunnen worden — waarna verdere misbruikscenario’s ontstaan. Arctic Wolf deelde IP-adressen van de aanvallers. Advies: patches toepassen, FortiCloud SSO uitschakelen indien niet nodig, wachtwoorden vernieuwen en logs controleren.