CVE-2025-59718 e CVE-2025-59719 su FortiGate in sfruttamento attivo

Redazione RHC : 16 Dicembre 2025 06:49

Gli autori delle minacce hanno iniziato a sfruttare attivamente le vulnerabilità di alta gravità, poco dopo che il fornitore le aveva rese pubbliche, al fine di aggirare l’autenticazione su dispositivi FortiGate.

Un recente rapporto di Arctic Wolf rivela che, dal 12 dicembre 2025, queste vulnerabilità vengono sfruttate dagli aggressori per ottenere l’accesso come amministratori attraverso il Single Sign-On (SSO) e rubare configurazioni di sistema sensibili.

Le vulnerabilità CVE-2025-59718 e CVE-2025-59719, con un punteggio CVSS critico di 9,1, sono nel mirino degli attacchi. Di fatto, senza chiave, un aggressore non autenticato può entrare dalla porta principale sfruttando tali falle, che permettono di eludere le protezioni di accesso SSO grazie a messaggi SAML falsificati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I ricercatori di Arctic Wolf hanno evidenziato: “Tuttavia, quando gli amministratori registrano i dispositivi utilizzando FortiCare tramite la GUI, FortiCloud SSO viene abilitato al momento della registrazione, a meno che l’impostazione ‘Consenti accesso amministrativo tramite FortiCloud SSO’ non sia disabilitata nella pagina di registrazione”.

I tentativi di intrusione osservati da Arctic Wolf seguono uno schema ben preciso. Gli aggressori provengono da provider di hosting specifici, tra cui The Constant Company LLC, Bl Networks e Kaopu Cloud Hk Limited, e prendono di mira direttamente l’account amministratore.

Una volta all’interno, gli aggressori si sono subito dedicati al furto di dati. “In seguito ad accessi SSO dannosi, le configurazioni venivano esportate agli stessi indirizzi IP tramite l’interfaccia utente grafica”. Questa esfiltrazione è catastrofica perché le configurazioni del firewall contengono spesso credenziali hash per gli utenti VPN e altri account locali.

Si consiglia agli amministratori di effettuare immediatamente l’aggiornamento alle ultime versioni corrette (ad esempio, FortiOS 7.6.4, 7.4.9, 7.2.12 o 7.0.18). Per coloro che non possono applicare immediatamente la patch, esiste una soluzione alternativa fondamentale. È possibile disabilitare la funzionalità vulnerabile tramite l’interfaccia a riga di comando (CLI):

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli