Aktivna zloupotreba CVE-2025-59718 povećava rizik za korisnike Fortineta
CVE-2025-59718 omogućava zaobilaženje autentikacije u više Fortinet proizvoda i zahtijeva hitne provjere i ažuriranja.
Više Fortinet proizvoda pogođeno je ozbiljnom ranjivošću označenom kao CVE-2025-59718, za koju je potvrđeno da se već koristi u napadima. Problem je posebno osjetljiv jer se odnosi na način na koji sistemi provjeravaju identitet korisnika prije nego što im dozvole pristup.
Kada kontrola pristupa zakaže, zaštita ostatka sistema postaje upitna, bez obzira na ostale sigurnosne mjere.
Kako funkcionišu CVE-2025-59718 i CVE-2025-59719
Ranjivosti CVE-2025-59718 i CVE-2025-59719 vezane su za istu funkcionalnost. Obje nastaju zbog grešaka u provjeri potpisanih poruka koje se koriste prilikom prijave putem cloud servisa za jedinstvenu autentikaciju.
U ispravnoj implementaciji, sistem mora provjeriti da li je poruka zaista izdata od pouzdanog izvora. U pogođenim verzijama ta provjera nije dovoljno stroga. Napadač može poslati posebno pripremljenu poruku koja izgleda legitimno i time preskočiti standardni proces prijave.
CVE-2025-59718 se smatra ozbiljnijom jer je već zabilježena njena zloupotreba, dok CVE-2025-59719 predstavlja dodatni rizik koji može proširiti površinu napada ako se ne sanira na vrijeme.
Skriveni rizik u konfiguraciji
Jedan od najproblematičnijih aspekata ove situacije jeste činjenica da pogođena funkcija ne mora biti svjesno uključena. Iako nije aktivna u fabričkim postavkama, može se automatski omogućiti tokom administrativnih radnji, poput registracije uređaja za podršku ili upravljanje.
To znači da administratori mogu vjerovati da sistem nije izložen, iako je uslov za napad već prisutan. U takvom slučaju, sistem prihvata vanjske autentikacione poruke bez jasnog upozorenja ili vidljivog znaka promjene ponašanja.
Zašto je ova vrsta ranjivosti opasna
Zaobilaženje autentikacije omogućava napadaču da se pojavi kao legitimni korisnik. Zapisi u sistemu mogu pokazivati normalne prijave, što otežava razlikovanje napada od uobičajenog rada.
Na primjer, administrator može primijetiti promjene u konfiguraciji, ali bez jasnog traga kako je pristup ostvaren. To produžava vrijeme reakcije i povećava potencijalnu štetu, posebno na sistemima koji upravljaju mrežnim saobraćajem ili drugim ključnim resursima.
Šta administratori trebaju uraditi
Prvi korak je primjena dostupnih sigurnosnih zakrpa koje ispravljaju način provjere potpisanih poruka. Time se uklanja osnovni uzrok problema.
Jednako važno je provjeriti da li je cloud SSO funkcionalnost aktivna. Ako se ne koristi, njeno isključivanje značajno smanjuje rizik. Ovo je naročito važno za uređaje koji su izloženi internetu ili imaju centralnu ulogu u infrastrukturi.
Preporučljivo je i redovno pregledati postavke autentikacije te dokumentovati svaku promjenu. Takav pristup smanjuje vjerovatnoću da se slični problemi ponove bez znanja administratora.
