Automatiserede angreb mod FortiGate

Eskil Sørensen

01.26.2026 10:09

Misbruger FortiCloud SSO til at ændre firewall‑konfigurationer

En ny bølge af automatiserede angreb mod Fortinet‑udstyr rammer nu organisationer globalt. Ifølge Arctic Wolf blev kampagnen første gang observeret den 15. januar 2026, og den bærer markante ligheder med en tidligere hændelse fra december 2025, hvor angribere udnyttede to sårbarheder – EUVD-2025-202198/ CVE‑2025‑59718 og EUVD-2025-202191/ CVE‑2025‑59719 – til at omgå Single Sign-On (SSO) på FortiGate‑enheder.

Det skriver The Hacker News.

Begge sårbarheder har en CVSS-score på 9,1, mens EPSS-scoren er på hhv. 2,27 pct. og 0,08 pct og de muliggør uautentificeret bypass af SSO‑kontrol via specialfremstillede SAML‑beskeder, hvis FortiCloud SSO er aktiveret. Fejlene påvirker blandt andet FortiOS, FortiWeb, FortiProxy og FortiSwitchManager. Dvs. alle de steder, hvor SSO burde forenkle processerne, men i stedet giver angribere fuld adgang.

Automatiserede loginforsøg og lynhurtige konfigurationsændringer

Arctic Wolfs analyse afslører et systematisk angrebsmønster:

Loginforsøg foretages mod den ondsindede konto cloud-init@mail.io
Flere forskellige hosting‑udbydere anvendes som afsæt
Firewall‑konfigurationer eksporteres via GUI få sekunder efter login
Nye persistente brugerkonti oprettes med navne som
secadmin, itadmin, support, backup, remoteadmin, audit

Ifølge Arctic Wolf foregår alle hændelserne inden for få sekunder – hvilket peger i retning af fuld automatisering.

Fuldpatch’ede FortiOS‑installationer rammes stadig

Samtidig rapporterer flere administratorer på Reddit, at de oplever de samme ondsindede SSO‑logins på fuldpatch’ede FortiOS‑systemer. En af brugerne oplyser endda, at Fortinet selv har bekræftet, at sårbarheden stadig er til stede i version 7.4.10, på trods af tidligere patches.

Fortinet har endnu ikke officielt kommenteret sagen. Imens fastholder sikkerhedskommunitiet, at den mest effektive akutte afværgeforanstaltning er at deaktivere FortiCloud SSO – specifikt indstillingen: admin-forticloud-sso-login

Status: Ubekræftede patches og aktiv udnyttelse

Kampagnen er aktiv, udnyttelsen bekræftet, og der er tegn på fortsat angreb mod selv opdaterede installationer. Kombinationen af:

uautentificeret SSO‑bypass
automatiseret konto‑oprettelse
eksport af konfigurationsfiler
og rapporter om ineffektive patches

… gør situationen ekstra alvorlig.

Indtil Fortinet leverer en entydig opdatering er den mest praktiske tilgang ifølge The Hacker News begrænsning, overvågning og manuel kontrol.

Læs mere

https://thehackernews.com/2026/01/automated-fortigate-attacks-exploit.html

Sårbarhed