Negli ultimi giorni è stata osservata una campagna di attacchi informatici contro dispositivi Fortinet FortiGate che sfrutta un bypass di autenticazione SAML SSO. I criminali stanno approfittando di due vulnerabilità critiche con punteggio CVSS 9.8, identificate come CVE 2025 59718 e CVE 2025 59719, che consentono di aggirare il login SSO senza credenziali valide tramite messaggi SAML appositamente costruiti, a condizione che la funzione FortiCloud SSO sia abilitata sul dispositivo.
Il punto chiave è che FortiCloud SSO, pur essendo disabilitato di default, può venire abilitato automaticamente durante la registrazione FortiCare se non viene disattivata esplicitamente l’opzione che permette il login amministrativo con FortiCloud SSO. Questo dettaglio aumenta il rischio, perché molte organizzazioni potrebbero non rendersi conto di avere esposto l’interfaccia di gestione a una superficie di attacco più ampia.
Le intrusioni osservate includono accessi SSO malevoli mirati all’account admin, provenienti da indirizzi IP associati a un numero limitato di provider di hosting. Dopo l’accesso, gli attaccanti risultano esportare la configurazione del dispositivo tramite interfaccia grafica e inviarla verso gli stessi indirizzi IP. L’esfiltrazione della configurazione è particolarmente pericolosa perché spesso contiene hash di credenziali o altri dettagli sensibili utili per movimenti successivi, escalation o attacchi su altri sistemi.
Anche se le password nei file di configurazione possono essere memorizzate come hash, gli aggressori possono tentare di decifrarli offline, soprattutto quando le credenziali sono deboli o basate su dizionari. Per questo motivo, in presenza di indicatori di compromissione è prudente considerare il firewall compromesso e procedere con il reset delle credenziali memorizzate o derivate dalla configurazione esportata.
Fortinet ha rilasciato patch per i prodotti interessati, inclusi FortiOS, FortiWeb, FortiProxy e FortiSwitchManager. Le azioni consigliate sono applicare gli aggiornamenti con priorità, disabilitare FortiCloud SSO fino al completamento della patch e limitare l’accesso alle interfacce di gestione di firewall e VPN solo a utenti interni fidati e reti autorizzate. Inoltre la vulnerabilità CVE 2025 59718 è stata inserita nel catalogo delle vulnerabilità sfruttate attivamente, aumentando l’urgenza di intervento.