Công ty an ninh mạng Arctic Wolf đã cảnh báo về một "nhóm hoạt động độc hại tự động mới" liên quan đến việc thay đổi cấu hình tường lửa trái phép trên các thiết bị Fortinet FortiGate.
Hoạt động này, theo công ty, bắt đầu vào ngày 15 tháng 1 năm 2026, và có những điểm tương đồng với một chiến dịch vào tháng 12 năm 2025, trong đó các lần đăng nhập SSO độc hại trên các thiết bị FortiGate đã được ghi nhận vào tài khoản admin từ các nhà cung cấp hosting khác nhau bằng cách khai thác các lỗ hổng CVE-2025-59718 và CVE-2025-59719.
Cả hai lỗ hổng này đều cho phép bỏ qua xác thực đăng nhập SSO mà không cần chứng thực thông qua các thông báo SAML được tạo đặc biệt khi tính năng đăng nhập một lần FortiCloud (SSO) được bật trên các thiết bị bị ảnh hưởng. Những hạn chế này ảnh hưởng đến FortiOS, FortiWeb, FortiProxy và FortiSwitchManager.
Arctic Wolf cho biết về nhóm mối đe dọa đang phát triển: "Hoạt động này bao gồm việc tạo các tài khoản chung nhằm mục đích duy trì quyền truy cập, thay đổi cấu hình cấp quyền truy cập VPN cho các tài khoản đó, cũng như trích xuất cấu hình tường lửa."
Cụ thể, điều này đòi hỏi việc thực hiện các lần đăng nhập SSO độc hại vào một tài khoản độc hại "[email protected]" từ bốn địa chỉ IP khác nhau, sau đó các tệp cấu hình tường lửa được xuất sang cùng các địa chỉ IP đó thông qua giao diện GUI. Danh sách các địa chỉ IP nguồn dưới đây -
- 104.28.244[.]115
- 104.28.212[.]114
- 217.119.139[.]50
- 37.1.209[.]19
Ngoài ra, các tác nhân đe dọa còn được quan sát thấy tạo các tài khoản phụ như "secadmin", "itadmin", "support", "backup", "remoteadmin" và "audit" để duy trì quyền truy cập.
Arctic Wolf cho biết thêm: "Tất cả các sự kiện trên đều diễn ra trong vòng vài giây, cho thấy khả năng hoạt động tự động."
Thông tin tiết lộ này trùng khớp với một bài đăng trên Reddit, trong đó nhiều người dùng báo cáo thấy các lần đăng nhập SSO độc hại trên các thiết bị FortiOS đã được vá đầy đủ, với một người dùng nói rằng "nhóm phát triển Fortinet đã xác nhận lỗ hổng vẫn tồn tại hoặc chưa được khắc phục trong phiên bản 7.4.10."
The Hacker News đã liên hệ với Fortinet để bình luận và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi. Trong thời gian chờ đợi, nên tắt cài đặt "admin-forticloud-sso-login".
