Krytyczne luki w produktach Fortinet (CVE-2025-59718, CVE-2025-59719): Jak zabezpieczyć swoją firmę przed przejęciem kontroli?

utworzone przez Redakcja VIPentest | czwartek, 18.12.2025, 13:00 | Cyberbezpieczeństwo
Fortinet Critical Flaws CVE-2025-59718 & CVE-2025-59719: Actively Exploited Zero-Day Vulnerabilities
Podsumowanie najważniejszych informacji:
  • Luki w produktach Fortinet umożliwiają zdalne przejęcie kontroli nad urządzeniami.
  • Zagrożone są liczne wersje FortiOS, FortiProxy i FortiWeb.
  • Podatności są wykorzystywane aktywnie przez cyberprzestępców.
  • Krytyczne zabezpieczenia obejmują natychmiastową aktualizację oprogramowania.
  • Urządzenia rejestrowane w FortiCare mogą być nieświadomie narażone.

W ostatnich dniach grudnia 2025 roku odkrycie krytycznych podatności w produktach Fortinet zszokowało branżę cyberbezpieczeństwa. Atakujący aktywnie wykorzystują te luki, co wymaga natychmiastowych działań firm, by zabezpieczyć swoje infrastruktury.

Cyberprzestępcy mogą zdalnie przejąć kontrolę nad systemami, wykorzystując niewłaściwą weryfikację podpisów kryptograficznych. W artykule wyjaśniamy, które produkty są zagrożone, przedstawiamy zalecenia dotyczące zabezpieczeń i chronologię ataków. Firmy korzystające z Fortinet muszą działać szybko, aby uniknąć kompromitacji swoich zasobów cyfrowych, poprzez wdrożenie aktualizacji oraz przegląd swoich konfiguracji i procedur bezpieczeństwa.

Krytyczne luki w produktach Fortinet (CVE-2025-59718, CVE-2025-59719): Jak zabezpieczyć swoją firmę przed przejęciem kontroli?

W dynamicznym świecie cyberbezpieczeństwa, gdzie zaufane rozwiązania stanowią fundament obrony, informacja o krytycznej podatności w powszechnie stosowanych produktach działa jak dzwonek alarmowy dla całej branży. W ostatnich dniach grudnia 2025 roku taki alarm rozbrzmiał wyjątkowo głośno z powodu odkrycia dwóch bliźniaczych luk w zabezpieczeniach urządzeń firmy Fortinet. Podatności, oznaczone jako CVE-2025-59718 oraz CVE-2025-59719, stwarzają poważne zagrożenie, umożliwiając zdalne przejęcie kontroli administracyjnej nad kluczowymi elementami infrastruktury sieciowej. Co gorsza, są już aktywnie wykorzystywane przez cyberprzestępców.

Dogłębna Analiza Zagrożenia: Na Czym Polega Problem?

U podstaw obu podatności, CVE-2025-59718 i CVE-2025-59719, leży ten sam fundamentalny błąd: niewłaściwa weryfikacja podpisów kryptograficznych. W nomenklaturze technicznej problem ten jest sklasyfikowany jako CWE-347 (Improper Verification of Cryptographic Signature). Błąd ten zlokalizowano w funkcji logowania jednokrotnego (Single Sign-On, SSO) za pośrednictwem FortiCloud, która wykorzystuje protokół SAML (Security Assertion Markup Language) do uwierzytelniania administratorów.

W normalnych warunkach mechanizm SAML SSO pozwala użytkownikom na zalogowanie się do wielu systemów przy użyciu jednego zestawu poświadczeń, co znacznie upraszcza zarządzanie dostępem. Kluczowym elementem tego procesu jest zaufanie – system (w tym przypadku urządzenie Fortinet) musi mieć pewność, że żądanie logowania pochodzi z uprawnionego źródła. Tę pewność gwarantuje właśnie podpis kryptograficzny dołączany do komunikatu SAML.

Niestety, w podatnych wersjach oprogramowania Fortinet weryfikacja tego podpisu jest wadliwa. Atakujący odkryli, że mogą stworzyć specjalnie spreparowany komunikat SAML, który, mimo braku prawidłowego podpisu, jest akceptowany przez system jako autentyczny. W efekcie, nieposiadający żadnych poświadczeń, zdalny atakujący może ominąć cały proces uwierzytelniania i zalogować się do interfejsu administracyjnego urządzenia.

Skutki takiego ataku są katastrofalne. Cyberprzestępca uzyskuje pełne uprawnienia administratora, co daje mu nieograniczoną kontrolę nad urządzeniem. Obserwowane w praktyce ataki pokazują, że pierwszym krokiem po udanym logowaniu jest zazwyczaj natychmiastowe pobranie pełnego pliku konfiguracyjnego systemu. Plik ten to prawdziwa skarbnica wiedzy dla agresora – zawiera on między innymi zahaszowane poświadczenia wszystkich lokalnych użytkowników, szczegóły topologii sieci, reguły firewalla oraz klucze VPN. Uzyskanie tych danych otwiera drogę do dalszej eskalacji ataku, poruszania się wewnątrz sieci (ruch lateralny) i kompromitacji kolejnych systemów.

O powadze sytuacji świadczy ocena w systemie CVSSv3 (Common Vulnerability Scoring System), gdzie obie podatności otrzymały notę 9.1 na 10, co klasyfikuje je jako krytyczne. Taki wynik oznacza, że są one stosunkowo łatwe do wykorzystania zdalnie, nie wymagają interakcji ze strony użytkownika, a ich skutki są niezwykle poważne.

Które Produkty i Wersje Są Zagrożone?

Podatności dotyczą szerokiej gamy popularnych produktów Fortinet, jednak zostały podzielone na dwa odrębne identyfikatory CVE ze względu na różne linie produktowe, w których występują. Kluczowe jest, aby administratorzy dokładnie zweryfikowali, czy ich środowisko jest narażone na atak.

CVE-2025-59718 dotyczy następujących produktów:

  • FortiOS:
    • Wersje od 7.6.0 do 7.6.3 (zalecana aktualizacja do 7.6.4 lub nowszej)
    • Wersje od 7.4.0 do 7.4.8 (zalecana aktualizacja do 7.4.9 lub nowszej)
    • Wersje od 7.2.0 do 7.2.14 (zalecana aktualizacja do 7.2.15 lub nowszej)
    • Wersje od 7.0.0 do 7.0.21 (zalecana aktualizacja do 7.0.22 lub nowszej)
  • FortiProxy: (Szczegółowe wersje podane w oficjalnym biuletynie Fortinet)
  • FortiSwitchManager: (Szczegółowe wersje podane w oficjalnym biuletynie Fortinet)

CVE-2025-59719 dotyczy produktu FortiWeb:

  • FortiWeb:
    • Wersja 8.0.0 (zalecana aktualizacja do 8.0.1 lub nowszej)
    • Wersje od 7.6.0 do 7.6.4 (zalecana aktualizacja do 7.6.5 lub nowszej)
    • Wersje od 7.4.0 do 7.4.9 (zalecana aktualizacja do 7.4.10 lub nowszej)

Niezwykle istotnym i niepokojącym faktem, na który zwracają uwagę badacze z Rapid7, jest sposób aktywacji podatnej funkcji. Chociaż logowanie administracyjne przez FortiCloud SSO jest domyślnie wyłączone, to proces rejestracji urządzenia w usłudze FortiCare za pośrednictwem graficznego interfejsu użytkownika (GUI) automatycznie włącza tę funkcję. Oznacza to, że wiele organizacji może być narażonych na atak, nawet jeśli ich administratorzy nigdy świadomie nie konfigurowali logowania SSO. Każde urządzenie, które zostało zarejestrowane w ten sposób, jest potencjalnie podatne, o ile funkcja ta nie została później ręcznie i jawnie wyłączona. To znacząco zwiększa powierzchnię ataku i ryzyko dla firm.

Checklista: Kluczowe kroki

  • Natychmiastowa aktualizacja wszystkich podatnych urządzeń Fortinet.
  • Wyłączenie administracyjnego logowania SSO do czasu aktualizacji.
  • Regularne przeszukiwanie logów w poszukiwaniu nietypowych działań.
  • Resetowanie poświadczeń wszystkich kont w przypadku wykrycia incydentu.
  • Użycie zaawansowanych narzędzi skanujących do identyfikacji podatnych systemów.
  • Monitorowanie aktualizacji i zaleceń od CISA oraz innych agencji.

FAQ

Jakie są główne zagrożenia związane z podatnościami CVE-2025-59718 i CVE-2025-59719?

Podatności te umożliwiają zdalne przejęcie kontroli administracyjnej nad urządzeniami Fortinet, umożliwiając atakującym nieautoryzowane logowanie do interfejsów administracyjnych. Skutkuje to możliwością pobrania pełnych plików konfiguracyjnych, które zawierają krytyczne informacje takie jak zahaszowane poświadczenia użytkowników, topologię sieci oraz klucze VPN.

Które produkty Fortinet są zagrożone tymi podatnościami?

CVE-2025-59718 dotyczy FortiOS, FortiProxy i FortiSwitchManager, podczas gdy CVE-2025-59719 dotyczy FortiWeb. Konkretnie, podatne są wybrane wersje tych produktów, w szczególności w przypadku FortiOS wersje od 7.0.0 do 7.6.3, oraz FortiWeb wersje od 7.4.0 do 8.0.0.

Jakie są rekomendowane kroki naprawcze dla organizacji używających tych produktów?

Najważniejszym krokiem jest natychmiastowa aktualizacja oprogramowania do najnowszych wersji, jak wskazano w biuletynie Fortinet FG-IR-25-647. Tymczasowo można również wyłączyć logowanie SSO, jeśli aktualizacja nie jest możliwa. Organizacje powinny także przeanalizować logi systemowe pod kątem oznak włamania i rozważyć zresetowanie poświadczeń w przypadku podejrzenia kompromitacji.

Dlaczego rejestracja urządzenia w FortiCare zwiększa ryzyko ataku?

Rejestracja urządzenia w FortiCare za pośrednictwem graficznego interfejsu użytkownika automatycznie włącza funkcję logowania przez FortiCloud SSO, co może narazić urządzenie na atak nawet jeśli logowanie SSO nie było świadomie skonfigurowane przez administratorów.

Jak szybko podatności te były wykorzystywane przez cyberprzestępców po ich odkryciu?

Atakujący zaczęli wykorzystywać te podatności zaledwie trzy dni po publikacji przez Fortinet informacji o lukach, co pokazuje jak szybkie i skuteczne mogą być takie ataki. Publiczne udostępnienie exploita na platformie GitHub przyczyniło się do szybkiego wzrostu ataków.

Kontakt

Bezpieczeństwo zaczyna się od rozmowy! Chętnie udzielimy szczegółowych informacji!

Skontaktuj się z nami:

📧 Email: kontakt@vipentest.com
📞 Telefon: +48 735-380-170

    *Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę VIPentest Sp. z o.o. Więcej informacji o tym, jak chronimy powierzone nam dane osobowe i na jakiej podstawie je przetwarzamy znajduje się w Polityce Prywatności oraz RODO

     

    AI

    Informacja o powstawaniu treści

    Artykuł został opracowany z wykorzystaniem narzędzi wspieranych sztuczną inteligencją, a wszystkie treści zostały zweryfikowane, uzupełnione i zatwierdzone przez ekspertów VIPentest. Publikujemy wyłącznie informacje zgodne z aktualną wiedzą branżową, najlepszymi praktykami i doświadczeniem naszego zespołu, dbając o najwyższą rzetelność i dokładność prezentowanych materiałów.

    Przeczytaj Również

    1. Złośliwe Rozszerzenia Przeglądarki jako Zagrożenie dla Biznesu
    2. Audyty AI i LLM w Zarządzaniu Ryzykiem Prawnym
    3. Testy penetracyjne w software house – klucz do bezpieczeństwa
    4. Testy penetracyjne TLPT w obliczu DORA i TIBER-EU
    5. Testy penetracyjne w Polsce 2026 – wymagania i ryzyka
    6. Korzyści z outsourcingu cyberbezpieczeństwa dla polskich firm

    Tagi

    bezpieczeństwo ITCVE-2025-59718CVE-2025-59719cyberbezpieczeństwoFortinetpodatnościSSOzarządzanie ryzykiem