Các threat actor đã bắt đầu khai thác hai lỗ hổng bảo mật mới được tiết lộ trong các thiết bị Fortinet FortiGate, chỉ chưa đầy một tuần sau khi thông tin được công khai.
Công ty an ninh mạng Arctic Wolf cho biết họ đã quan sát thấy các cuộc xâm nhập tích cực liên quan đến đăng nhập single sign-on (SSO) độc hại trên các thiết bị FortiGate vào ngày 12 tháng 12 năm 2025. Các cuộc tấn công này khai thác hai lỗ hổng authentication bypass nghiêm trọng (CVE-2025-59718 và CVE-2025-59719, điểm CVSS: 9.8). Các bản vá lỗi cho những lỗ hổng này đã được Fortinet phát hành vào tuần trước cho FortiOS, FortiWeb, FortiProxy và FortiSwitchManager.
"Những lỗ hổng này cho phép unauthenticated bypass quá trình xác thực đăng nhập SSO thông qua các thông báo SAML được tạo thủ công, nếu tính năng FortiCloud SSO được bật trên các thiết bị bị ảnh hưởng," Arctic Wolf Labs cho biết trong một bản tin mới.
Cần lưu ý rằng mặc dù FortiCloud SSO bị tắt theo mặc định, nhưng nó sẽ tự động được bật trong quá trình đăng ký FortiCare trừ khi quản trị viên tắt rõ ràng bằng cách sử dụng cài đặt "Allow administrative login using FortiCloud SSO" trên trang đăng ký.
Trong hoạt động độc hại được Arctic Wolf quan sát, các địa chỉ IP liên quan đến một nhóm giới hạn các nhà cung cấp dịch vụ hosting, chẳng hạn như The Constant Company llc, Bl Networks và Kaopu Cloud Hk Limited, đã được sử dụng để thực hiện các đăng nhập SSO độc hại vào tài khoản "admin".
Sau khi đăng nhập, những kẻ tấn công được phát hiện đã xuất cấu hình thiết bị qua GUI đến cùng các địa chỉ IP này.
Khuyến nghị và biện pháp giảm thiểu
Trước hoạt động khai thác đang diễn ra, các tổ chức được khuyến cáo nên áp dụng các bản vá càng sớm càng tốt. Để giảm thiểu rủi ro, điều cần thiết là phải tắt FortiCloud SSO cho đến khi các phiên bản được cập nhật lên phiên bản mới nhất và hạn chế quyền truy cập vào các giao diện quản lý của firewalls và VPNs đối với những người dùng nội bộ đáng tin cậy.
"Mặc dù thông tin đăng nhập thường được hash trong cấu hình thiết bị mạng, nhưng các threat actor được biết đến là có thể crack hash offline, đặc biệt nếu thông tin đăng nhập yếu và dễ bị tấn công dictionary attack," Arctic Wolf cho biết.
Những khách hàng của Fortinet phát hiện indicators of compromise (IoCs) phù hợp với chiến dịch được khuyến nghị nên giả định rằng đã xảy ra sự cố và reset thông tin đăng nhập firewall đã được hash được lưu trữ trong các cấu hình bị exfiltrated.
