Was ist passiert?
Ab dem 15. Januar 2026 beobachtet Rapid7 und Arctic Wolf eine aktive Ausnutzungswelle für CVE-2025-59718 und die verwandte CVE-2025-59719. Ein nicht authentifizierter Angreifer kann via manipulierter SAML-Nachricht die Authentifizierung auf dem Managementinterface umgehen und administrativen Zugriff auf das Gerät erlangen.
Vollständig gepatchte FortiGate-Firewalls wurden kompromittiert – ein Hinweis darauf, dass die Angreifer möglicherweise über einen weiteren, noch nicht veröffentlichten Initialzugangsvektor verfügen.
Wen betrifft es?
Organisationen, die folgende Produkte mit SAML oder SSL-VPN betreiben:
- ▸FortiOS (alle aktuellen Versionen ohne aktuellen Patch)
- ▸FortiProxy
- ▸FortiSwitchManager
- ▸FortiWeb
Angriffsszenario
1. Angreifer sendet manipulierte SAML-Authentifizierungsanfrage an das Managementinterface. 2. Fortinet-Authentifizierung wird umgangen. 3. Angreifer erhält administrative Kontrolle über die Firewall. 4. Neue Admin-Accounts werden angelegt, Firewall-Regeln modifiziert, VPN-Backdoors eingerichtet.
Was ist zu tun?
1. Patches sofort installieren – alle verfügbaren Fortinet-Security-Updates einspielen. 2. Managementinterface isolieren – Admin-Zugang auf dediziertes, nicht-Internet-exponiertes Management-Netz beschränken. 3. SSL-VPN prüfen – temporär deaktivieren, wenn nicht zwingend erforderlich. 4. Admin-Account-Audit – alle lokalen Admin-Accounts auf unbekannte Einträge prüfen. 5. Netzwerktraffic analysieren – ausgehende Verbindungen der Firewall selbst auf C2-Aktivität prüfen. 6. Incident Response einleiten – bei Verdacht auf Kompromittierung vollständige forensische Analyse vor weiterer Nutzung.
--- Ungepatchte Fortinet-Geräte mit Internet-exponiertem Managementinterface sind als kompromittiert zu betrachten. Für eine Notfallbeurteilung kontaktieren Sie uns.