FortiCloud SSO ranjivost CVE-2025-59718

Sadržaj
‍
Zabilježeno je aktivno iskorištavanje ranjivosti CVE-2025-59718 koja pogađa FortiCloud SSO mehanizam za prijavu. Ranjivost omogućuje zaobilaženje autentikacije putem zloupotrebe SAML odgovora, čime se napadaču omogućuje neovlašteni pristup korisničkim sesijama i administrativnim sučeljima povezanih Fortinet servisa. Prema dostupnim podacima, eksploatacija je u tijeku, a napadi su uočeni s više različitih IP adresa kroz stvarne honeypot sustave.

Detalji
‍
Ranjivost CVE-2025-59718 odnosi se na implementaciju SAML autentikacije unutar FortiCloud SSO okruženja. Problem proizlazi iz nedovoljno stroge provjere SAML Response poruka, pri čemu sustav ne validira ispravno izvorište i integritet određenih atributa unutar autentikacijskog tokena. Napadač može generirati ili izmijeniti SAML odgovor tako da se lažno predstavi kao legitimni identitet, bez potrebe za poznavanjem korisničkih vjerodajnica.
‍
Analize prometa iz honeypot okruženja pokazale su primjere posebno oblikovanih SAML odgovora u kojima je polje Issuer postavljeno na sso.forticloud[.]com, čime se zaobilaze mehanizmi povjerenja između servisa. Takav zahtjev omogućuje otvaranje sesije kao drugi korisnik ili administrator, ovisno o kontekstu ciljanog sustava. U praksi to znači da napadač može pristupiti FortiCloud upravljačkim konzolama, pregledavati konfiguracije, upravljati povezanim Fortinet proizvodima ili koristiti kompromitirani račun kao odskočnu točku za daljnje napade.
‍
Napadi su identificirani s više različitih IP adresa, što upućuje na automatiziranu eksploataciju i potencijalno širu kampanju. Zabilježeni uzorci prometa ukazuju da se ranjivost aktivno testira i koristi u stvarnom okruženju, a ne samo u eksperimentalne svrhe. Budući da FortiCloud SSO često služi kao centralna točka autentikacije za više servisa i uređaja, uspješna eksploatacija ima visoki utjecaj na sigurnost cijelog okruženja.
Fortinet je svjestan problema i objavio je sigurnosna upozorenja te preporuke za smanjenje rizika. Očekuje se i dostupnost zakrpa ili dodatnih zaštitnih mjera za pogođene komponente.

Preporuke
‍
• Odmah primijeniti sve dostupne sigurnosne zakrpe i ažuriranja vezana uz FortiCloud i SSO servise.
• Privremeno ograničiti ili onemogućiti SAML SSO integracije koje nisu nužne za poslovanje.
• Pregledati autentikacijske logove i SAML zapise radi uočavanja sumnjivih ili neuobičajenih prijava.
• Ograničiti administrativni pristup FortiCloud konzolama na pouzdane IP adrese i interne mreže.

Reference
‍
• https://nvd.nist.gov/vuln/detail/CVE-2025-59718
• https://www.fortiguard.com/psirt
• https://www.fortiguard.com/psirt/FG-IR-25-647
• https://arcticwolf.com/resources/blog/cve-2025-59718-and-cve-2025-59719/

‍