Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in Fortinet FortiGate-firewalls waarvoor nog geen beveiligingsupdate beschikbaar is. De afgelopen dagen lieten verschillende firewall-beheerders weten dat hun volledig gepatchte FortiGate-firewall was gecompromitteerd. Het misbruik leek op een kritieke kwetsbaarheid waarvoor Fortinet in december updates had uitgebracht.

Volgens Fortinet gaat het echter om een nieuw probleem dat inmiddels is geïdentificeerd. Het bedrijf werkt aan een beveiligingsupdate maar laat niet weten wanneer die beschikbaar komt. Ook is er nog geen beveiligingsbulletin gepubliceerd. Wel laat Fortinet weten dat alleen misbruik van FortiCloud SSO is waargenomen, maar het probleem alle SAML SSO-implementaties raakt.

Organisaties kunnen in afwachting op een beveiligingsupdate de FortiCloud SSO feature uitschakelen. Dat voorkomt misbruik via deze methode, maar niet via een third-party systeem. Fortinet adviseert deze mitigatie alleen in combinatie met een "local-in policy" uit te voeren. Verder zijn er verschillende Indicators of Compromise gegeven waarmee organisaties kunnen kijken of hun firewalls zijn gecompromitteerd. Securitybedrijf Arctic Wolf heeft ook meer details over de aanvallen.