Zespół CERT Polska informuje o aktywnie wykorzystywanych podatnościach CVE-2025-59718 oraz CVE-2025-59719 dotyczących oprogramowania FortiOS, FortiProxy, FortiWeb i FortiSwitchManager.

Podatności umożliwiają ominięcie uwierzytelniania przy włączonym logowaniu FortiCloud SSO poprzez wysłanie spreparowanej wiadomości SAML. Domyślnie funkcja FortiCloud SSO jest wyłączona. Jeśli jednak administrator zarejestruje urządzenie w FortiCare z poziomu GUI, logowanie FortiCloud SSO zostanie automatycznie włączone, chyba że podczas rejestracji odznaczy opcję „Allow administrative login using FortiCloud SSO”.

Informacje dotyczące podatnych wersji oraz dostępnych aktualizacji znajdują się na stronie producenta https://fortiguard.fortinet.com/psirt/FG-IR-25-647

Rekomendacje CERT Polska:

• Niezwłoczna aktualizacja oprogramowania do najwyższej dostępnej wersji.
• Weryfikacja aktywności logowań użytkowników oraz przeprowadzenie audytu istniejących kont.
• W przypadku niewykorzystywania logowania SSO zaleca się jego wyłączenie. Można to zrobić zarówno z poziomu GUI, jak i poleceniem w terminalu: 

config system global           
set admin-forticloud-sso-login disable           
end

W przypadku wykrycia kompromitacji urządzenia, CERT Polska zaleca niezwłoczny kontakt ze swoim zespołem poprzez formularz na stronie https://incydent.cert.pl/ 

Więcej informacji o podatności, przykładowych logach z jej wykorzystania oraz niektórych adresach IP używanych przez atakujących można znaleźć na stronie: https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/