Sintesi

Lo scorso dicembre, Fortinet ha rilasciato aggiornamenti di sicurezza finalizzati alla mitigazione delle vulnerabilità CVE-2025-59718 e CVE-2025-59719. Tuttavia, recenti osservazioni indicano che tali aggiornamenti potrebbero non risultare pienamente efficaci in specifici scenari. Sono stati infatti riscontrati possibili casi di bypass delle patch, caratterizzati da accessi SSO malevoli che consentirebbero la creazione di account amministrativi non autorizzati su dispositivi FortiGate, inclusi sistemi aggiornati all’ultima versione resa disponibile dal vendor. Al momento, queste evidenze sono in fase di analisi e non risultano ancora confermate ufficialmente da Fortinet.

Prodotti interessati

• FortiWeb
• FortiOS
• FortiProxy
• FortiSwitchManager

Descrizione e potenziali impatti

Lo scorso dicembre, Fortinet ha rilasciato aggiornamenti di sicurezza finalizzati alla mitigazione delle vulnerabilità CVE-2025-59718 e CVE-2025-59719. Tuttavia, recenti osservazioni indicano che tali aggiornamenti potrebbero non risultare pienamente efficaci in specifici scenari. Sono stati infatti riscontrati possibili casi di bypass delle patch, caratterizzati da accessi SSO malevoli che consentirebbero la creazione di account amministrativi non autorizzati su dispositivi FortiGate, inclusi sistemi aggiornati all’ultima versione resa disponibile dal vendor. Al momento, queste evidenze sono in fase di analisi e non risultano ancora confermate ufficialmente da Fortinet.

In particolare la non corretta risoluzione delle succitate vulnerabilità – di tipo “Authentication Bypass” con score CVSS v3.1 pari a 9.1 – già trattate nell’ambito del AL03/251210/CSIRT-ITA , consentirebbe a un attaccante remoto non autenticato, tramite risposte SAML opportunamente predisposte, di bypassare l’autenticazione FortiCloud SSO, ottenere accesso amministrativo e creare account non autorizzati sui dispositivi interessati.

Azioni di mitigazione

Questo CSIRT raccomanda di eseguire le seguenti azioni di mitigazione:

• analizzare i log di sistema e di autenticazione per login SSO anomali;
• verificare la creazione di account amministrativi non riconosciuti (es. utenti “helpdesk” o simili);
• controllare accessi da IP esterni o insoliti;
• rimuovere immediatamente account sospetti o non autorizzati;
• disabilitare il login tramite SSO, se non strettamente necessario.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) ^[1] forniti da Fortinet e dai ricercatori di sicurezza di Artic Wolf .

^[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.