Zeker 25.000 Fortinet-apparaten met FortiCloud SSO, waarvan bijna vierhonderd in Nederland, zijn toegankelijk vanaf het internet en lopen daarmee risico om te worden aangevallen, aldus The Shadowserver Foundation op basis van eigen onderzoek. Aanvallers maken op dit moment actief misbruik van twee kritieke FortiCloud SSO-gerelateerde kwetsbaarheden voor het aanvallen van Fortinet-apparaten. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen.

Volgens Fortinet wordt een cryptografische handtekening bij het gebruik van de FortiCloud SSO login niet goed gecontroleerd. Via een speciaal geprepareerde SAML message kan een aanvaller de FortiCloud SSO login authenticatie omzeilen, als deze feature op het systeem staat ingeschakeld. De kwetsbaarheden kunnen leiden tot ongeautoriseerde toegang tot gevoelige API-gegevens en andere netwerkbronnen, zo liet het Nationaal Cyber Security Centrum (NCSC) vorige week weten.

Fortinet heeft beveiligingsupdates voor FortiOS, FortiProxy, FortiSwitchManager en FortiWeb uitgebracht om de problemen (CVE-2025-59718 en CVE-2025-59719) te verhelpen. Eerder deze week meldde securitybedrijf Arctic Wolf dat aanvallers de beveiligingslekken drie dagen na het uitkomen van de patches al hebben gebruikt bij aanvallen. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het deed een online scan naar Fortinet-apparaten met FortiCloud SSO die vanaf het internet toegankelijk zijn.

De scan leverde meer dan 25.000 ip-adressen op, waarvan bijna vierhonderd in Nederland. De onderzoekers merken op dat dit niet wil zeggen dat al deze systemen ook kwetsbaar zijn. Wel gaat de stichting organisaties van wie de systemen online toegankelijk zijn waarschuwen om de updates voor CVE-2025-59718 en CVE-2025-59719 te installeren of te verifiëren dat dit is gedaan. De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.1.