Twee kritieke kwetsbaarheden in verschillende Fortinet-producten zijn vorige week misbruikt bij aanvallen, drie dagen nadat ze bekend waren gemaakt. Dat meldt securitybedrijf Arctic Wolf. De twee beveiligingslekken (CVE-2025-59718 en CVE-2025-59719) bevinden zich in FortiOS, FortiProxy, FortiSwitchManager en FortiWeb. De kwetsbaarheden doen zich voor doordat een cryptografische handtekening bij gebruik van de FortiCloud SSO login niet goed wordt gecontroleerd.

Via een speciaal geprepareerde SAML message kan een aanvaller de FortiCloud SSO login authenticatie omzeilen, als deze feature op het systeem staat ingeschakeld. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. De kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen, zo liet het Nationaal Cyber Security Centrum (NCSC) vorige week weten.

De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.1. Fortinet merkt op dat de FortiCloud SSO login feature niet standaard staat ingeschakeld. Het bedrijf maakte het bestaan van de kwetsbaarheden op 9 december bekend en meldde ook de aanwezigheid van beveiligingsupdates. Arctic Wolf stelt dat het op 12 december de eerste aanvallen waarnam waarbij de beveiligingslekken werden misbruikt.

Bij de aanvallen wisten aanvallers de configuraties van de aangevallen netwerkapparaten te stelen. "Hoewel inloggegevens vaak in configuraties van netwerkapparaten zijn gehasht, is het bekend dat aanvallers hashes offline kraken, met name als wachtwoorden zwak en kwetsbaar voor woordenboek-aanvallen zijn", aldus de onderzoekers. Via de gekraakte hashes zouden vervolgens verdere aanvallen mogelijk zijn. Arctic Wolf heeft ip-adressen van de aanvallers gedeeld.