Vulnerabilità CVE-2025-59718 e 59719 su dispositivi Fortinet

Le vulnerabilità CVE-2025-59718 e CVE-2025-59719 rappresentano una delle minacce più critiche del 2025 per le infrastrutture aziendali che utilizzano dispositivi Fortinet. Con un punteggio CVSS di 9.1, queste falle di sicurezza hanno già causato compromissioni su larga scala, rendendo essenziale un intervento immediato per proteggere i propri sistemi.

Cosa sono le vulnerabilità CVE-2025-59718 e CVE-2025-59719

Queste due vulnerabilità critiche colpiscono i dispositivi FortiGate e altri prodotti Fortinet che supportano la funzione FortiCloud SSO. Il meccanismo di attacco sfrutta una falla nell’implementazione dell’autenticazione SAML, permettendo a un attaccante non autenticato di manipolare i messaggi SAML e bypassare completamente i controlli di sicurezza.

La pericolosità di queste vulnerabilità risiede nel fatto che:

• Non richiedono autenticazione preventiva
• Consentono l’accesso amministrativo completo
• Sono già sotto sfruttamento attivo dal 12 dicembre 2025
• Permettono l’esportazione di configurazioni sensibili

Prodotti e versioni vulnerabili

L’impatto di queste vulnerabilità si estende a una vasta gamma di prodotti Fortinet utilizzati nelle infrastrutture aziendali:

FortiOS

• Versioni 7.6.0 – 7.6.3
• Versioni 7.4.0 – 7.4.8
• Tutte le versioni 7.2.x specifiche e successive

Altri prodotti interessati

• FortiProxy: versioni 7.6.0-7.6.3 e 7.4.0-7.4.10
• FortiWeb
• FortiSwitchManager
• Altri prodotti Fortinet che utilizzano FortiCloud SSO

È importante notare che la funzione FortiCloud SSO, sebbene disabilitata di default, viene spesso attivata automaticamente attraverso l’interfaccia GUI, aumentando inconsapevolmente la superficie di attacco.

Impatto e conseguenze degli attacchi

Lo sfruttamento di queste vulnerabilità può portare a conseguenze devastanti per le organizzazioni colpite:

Accesso amministrativo non autorizzato

Gli attaccanti possono ottenere privilegi amministrativi completi sui dispositivi vulnerabili, permettendo loro di:

• Modificare le configurazioni di sicurezza
• Alterare le policy del firewall
• Compromettere le infrastrutture VPN
• Accedere a dati sensibili dell’organizzazione

Esfiltrazione di dati critici

Una delle conseguenze più gravi è la possibilità di esportare configurazioni contenenti:

• Credenziali hash per utenti VPN
• Account locali di sistema
• Chiavi di crittografia
• Informazioni sulla topologia di rete

Escalation e persistenza

Gli attaccanti possono utilizzare l’accesso ottenuto per espandere la loro presenza nella rete, compromettendo sistemi aggiuntivi e mantenendo la persistenza anche dopo il patching delle vulnerabilità iniziali.

Misure di mitigazione immediate

Data la criticità della situazione e lo sfruttamento attivo in corso, è fondamentale implementare immediatamente le seguenti contromisure:

Aggiornamento alle versioni corrette

La soluzione definitiva consiste nell’aggiornare immediatamente ai seguenti rilasci di sicurezza:

• FortiOS: 7.6.4+, 7.4.9+, 7.2.12+
• FortiProxy: 7.6.4+, 7.4.11+

Disabilitazione temporanea di FortiCloud SSO

Se l’aggiornamento non può essere applicato immediatamente, disabilitare la funzione FortiCloud SSO:

Via CLI:

config system global
set admin-forticloud-sso-login disable
end

Via GUI: Navigare in System > Settings e impostare “Allow administrative login using FortiCloud SSO” su Off.

Monitoraggio e detection

Implementare un monitoraggio rafforzato per identificare possibili compromissioni:

• Verificare eventi di login amministrativo sospetti
• Monitorare esportazioni non autorizzate di configurazioni
• Analizzare i log per identificare accessi anomali
• Implementare alerting per attività amministrative fuori orario

Best practice per la sicurezza a lungo termine

Oltre alle misure immediate, è essenziale implementare una strategia di sicurezza completa per prevenire future compromissioni:

Gestione degli accessi

• Limitare l’accesso amministrativo ai soli utenti autorizzati
• Implementare l’autenticazione a più fattori (MFA) per tutti gli account amministrativi
• Utilizzare il principio del minimo privilegio
• Implementare la rotazione regolare delle credenziali

Architettura di rete sicura

• Segmentare la rete per limitare la propagazione di eventuali compromissioni
• Implementare zone di management dedicate per i dispositivi di sicurezza
• Utilizzare VPN separate per l’accesso amministrativo
• Applicare il controllo degli accessi basato su ruoli

Logging e audit

• Configurare logging dettagliato per tutte le attività amministrative
• Implementare un SIEM per la correlazione degli eventi
• Eseguire audit periodici delle configurazioni
• Mantenere backup sicuri delle configurazioni

Le vulnerabilità CVE-2025-59718 e CVE-2025-59719 rappresentano una minaccia reale e immediata per le organizzazioni che utilizzano prodotti Fortinet. L’intervento tempestivo attraverso aggiornamenti di sicurezza e misure di mitigazione è cruciale per prevenire compromissioni che potrebbero avere conseguenze devastanti per la sicurezza aziendale. Le organizzazioni devono agire con urgenza, implementando non solo le correzioni immediate ma anche rafforzando le proprie difese per il futuro.