Seit Mitte Januar 2026 beobachten Sicherheitsforscher eine neue Welle massiv automatisierter Angriffe auf Fortinet FortiGate-Firewalls. Ziel der Kampagne ist der FortiCloud-SSO-Mechanismus, über den Angreifer in wenigen Sekunden Administratorzugriff erlangen, eigene Konten mit VPN-Rechten anlegen und vollständige Gerätekonfigurationen exfiltrieren.
Hintergrund: Automatisierte Angriffe auf FortiGate-Firewalls
Nach Angaben des Security-Anbieters Arctic Wolf läuft die aktuelle Angriffswelle seit dem 15. Januar 2026. Die Angriffe sind weitgehend vollautomatisiert: öffentlich erreichbare FortiGate-Systeme mit aktiviertem FortiCloud Single Sign-On (SSO) werden gescannt, verwundbare Instanzen identifiziert und unmittelbar übernommen.
Bereits im Dezember 2025 wurden erste Vorfälle im Zusammenhang mit den Schwachstellen CVE-2025-59718 und CVE-2025-59719 gemeldet. Die nun beobachtete zweite Welle zeigt, dass Angreifer ihre Exploits verfeinert und die Automatisierung weiter ausgebaut haben – ein typisches Muster bei hochprofitablen Schwachstellen im Perimeterbereich.
Technische Analyse der FortiCloud-SSO-Schwachstelle CVE-2025-59718
Im Mittelpunkt der Kampagne steht CVE-2025-59718, eine Schwachstelle in der Verarbeitung von SAML-Nachrichten innerhalb von FortiCloud SSO. SAML ist ein Standardprotokoll, mit dem Authentifizierungsinformationen zwischen einem Identitätsprovider und einem Dienstanbieter ausgetauscht werden.
Durch speziell präparierte SAML-Messages lässt sich bei aktivem FortiCloud SSO ein Authentifizierungs-Bypass erreichen. Dies ermöglicht es einem nicht authentifizierten Angreifer, sich gegenüber der Firewall als vertrauenswürdiger Benutzer auszugeben und direkt administrative Sitzungen aufzubauen.
Unmittelbar nach erfolgreicher Ausnutzung der Schwachstelle legen die Angreifer typischerweise:
- neue Administrator-Konten mit umfangreichen Rechten und VPN-Zugriff an,
- passen VPN- und Firewall-Policies an, um den späteren Zugriff zu erleichtern,
- und laden die vollständigen Konfigurationsdateien der betroffenen FortiGate-Systeme herunter.
Solche Konfigurationen enthalten häufig Benutzer- und Service-Credentials, interne IP-Adressräume, Informationen zu Site-to-Site-VPNs und detaillierte Zugriffsregeln. In der Praxis verschafft dies Angreifern eine nahezu vollständige „Landkarte“ der internen Netzwerkarchitektur und senkt die Hürde für Folgeschritte wie Ransomware-Rollouts oder gezielte Datendiebstähle erheblich.
Patch-Lage bei FortiOS: Warum die Gefahr fortbesteht
Fortinet adressierte CVE-2025-59718 und CVE-2025-59719 erstmals mit FortiOS 7.4.9 und kommunizierte, die Schwachstellen seien damit behoben. Dennoch berichten Administratoren nun von Kompromittierungen auf Systemen, die bereits auf FortiOS 7.4.10 aktualisiert waren.
Auf einschlägigen Foren weisen Betroffene darauf hin, dass Fortinet-Vertreter intern offenbar einräumen, dass der Fix in 7.4.10 nicht vollständig wirksam sei, obwohl das Unternehmen die Lücke offiziell seit 7.4.9 als geschlossen betrachtet. Parallel dazu werden Notfall-Releases von FortiOS 7.4.11, 7.6.6 und 8.0.0 vorbereitet, die die Ausnutzbarkeit von CVE-2025-59718 endgültig unterbinden sollen.
Bis zur breiten Verfügbarkeit und Installation dieser Versionen bleibt das Risiko für Organisationen erhöht – insbesondere, weil es sich um eine Schwachstelle an einem kritischen Perimeterdienst handelt, der häufig direkt aus dem Internet erreichbar ist.
Indikatoren einer Kompromittierung und Angriffsbreite
Log-Analysen kompromittierter FortiGate-Systeme zeigen ein konsistentes Angriffsmuster. In vielen Fällen werden folgende Indikatoren einer Kompromittierung (Indicators of Compromise, IoCs) beobachtet:
- SSO-Login-Versuche mit der E-Mail-Adresse cloud-init@mail[.]io,
- Zugriffe von der IP-Adresse 104.28.244[.]114,
- unmittelbar nach dem Login die Anlage eines neuen Administrator-Accounts.
Diese IoCs decken sich sowohl mit aktuellen Beobachtungen als auch mit den Vorfällen aus Dezember 2025, was auf eine kontinuierlich agierende Angreifergruppe oder eng verbundene Akteure schließen lässt.
Der Security-Scannerdienst Shadowserver weist aktuell beinahe 11.000 öffentlich erreichbare FortiGate-Systeme mit aktivem FortiCloud SSO aus. Da der Exploit keine Vorab-Authentifizierung erfordert, ist jedes dieser Systeme ein potenzielles Ziel. Bei einer vollständig automatisierten Angriffskette können tausende Firewalls innerhalb kurzer Zeit kompromittiert werden.
Konkrete Sicherheitsmaßnahmen für Fortinet-Administratoren
Sofortmaßnahmen zur Schadensbegrenzung
Bis zur Verfügbarkeit der angekündigten FortiOS-Versionen sollten Betreiber von Fortinet FortiGate folgende Schritte unverzüglich prüfen und umsetzen:
- FortiCloud SSO temporär deaktivieren auf allen Systemen, auf denen die Funktion aktiv ist.
- Logfiles auswerten auf SSO-Anmeldungen mit cloud-init@mail[.]io und Verbindungen von 104.28.244[.]114.
- Einen konsequenten Audit aller Administratorkonten durchführen und unbekannte Accounts entfernen.
- Bei jedem Verdacht auf Kompromittierung umgehend Passwörter, VPN-Schlüssel und Zertifikate rotieren und die Konfiguration auf unautorisierte Änderungen prüfen.
Härtung und strategisches Vulnerability Management
Der Vorfall unterstreicht, wie wichtig ein strukturiertes Schwachstellen- und Patch-Management ist – insbesondere für Perimetergeräte wie Firewalls und VPN-Gateways. Branchenberichte zeigen seit Jahren, dass eine erhebliche Zahl schwerer Sicherheitsvorfälle auf bekannte, aber ungepatchte Schwachstellen zurückgeht.
Empfehlenswert sind unter anderem:
- eine aktuelle Inventarisierung aller öffentlich erreichbaren Dienste (inklusive FortiCloud SSO),
- kontinuierliches Security Monitoring von Logs und Netzwerkverkehr mit klar definierten Alarmregeln,
- wo möglich, Multi-Faktor-Authentifizierung auch für Administrator- und VPN-Zugänge,
- regelmäßige Konfigurations-Audits und Penetrationstests für Firewalls und andere Sicherheitskomponenten.
Die anhaltenden Angriffe auf Fortinet FortiGate zeigen, dass selbst etablierte Sicherheitsprodukte ein erhebliches Risiko darstellen können, wenn kritische Funktionen wie FortiCloud SSO verwundbar oder falsch konfiguriert sind. Organisationen sollten betroffene Funktionen jetzt gezielt einschränken, ihre Systeme auf die genannten Indikatoren prüfen und sich auf eine schnelle Installation der kommenden FortiOS-Patches vorbereiten. Wer Patch-Disziplin, kontinuierliches Monitoring und proaktives Schwachstellenmanagement konsequent umsetzt, reduziert nicht nur das Risiko durch CVE-2025-59718, sondern stärkt nachhaltig die Resilienz der gesamten Netzwerkinfrastruktur.
