CVE-2025-59718

Fortinet Multiple Products

ВЕРОЯТНОСТЬ 1.8%
Дата обнаружения

2025-12-16

Официальное описание

Fortinet FortiOS, FortiSwitchMaster, FortiProxy, and FortiWeb contain an improper verification of cryptographic signature vulnerability that may allow an unauthenticated attacker to bypass the FortiCloud SSO login authentication via a crafted SAML message. Please be aware that CVE-2025-59719 pertains to the same problem and is mentioned in the same vendor advisory. Ensure to apply all patches mentioned in the advisory.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимости CVE-2025-59718 и связанная с ней CVE-2025-59719 представляют собой критические недостатки в механизме проверки криптографических подписей в продуктах Fortinet (FortiOS, FortiSwitchMaster, FortiProxy и FortiWeb).

Проблема заключается в некорректной валидации подписи в SAML-сообщениях. Это позволяет неаутентифицированному злоумышленнику отправить специально сформированный SAML-запрос и обойти аутентификацию FortiCloud SSO (Single Sign-On). В результате атакующий может получить несанкционированный доступ к административному интерфейсу уязвимого устройства.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление прошивки устройств до версий, в которых вендор закрыл брешь. Поскольку CVE-2025-59718 и CVE-2025-59719 исправляются одним пакетом обновлений, установка актуального патча закроет обе уязвимости.

  1. Сверьтесь с официальным бюллетенем безопасности Fortinet (PSIRT), чтобы определить точную версию прошивки с исправлениями для вашего конкретного продукта и текущей ветки релизов.
  2. Обязательно проверьте путь обновления (Upgrade Path) с помощью инструмента Fortinet Upgrade Tool, чтобы избежать повреждения конфигурации при прыжке через несколько версий.
  3. Сделайте полную резервную копию текущей конфигурации устройства перед началом обновления.
  4. Выполните резервное копирование конфигурации на TFTP-сервер:
execute backup config tftp backup_config.conf 192.168.1.50
  1. Загрузите и установите обновленный образ прошивки с TFTP-сервера:
execute restore image tftp FOS_image_name.out 192.168.1.50
  1. После перезагрузки устройства убедитесь, что службы работают корректно, а версия прошивки обновилась.

Временные меры

Если оперативное обновление прошивки невозможно в рамках текущего окна обслуживания, необходимо применить компенсирующие меры для снижения риска эксплуатации.

  1. Отключение FortiCloud SSO. Поскольку уязвимость эксплуатируется через механизм единого входа FortiCloud (SAML), его отключение для административного доступа полностью нейтрализует вектор атаки. Используйте локальные учетные записи или интеграцию с внутренними серверами LDAP/RADIUS.
  2. Для отключения административного SSO выполните следующие команды в CLI:
config system admin setting
set admin-sso disable
end
  1. Ограничение доступа к интерфейсам управления (Trusted Hosts). Строго ограничьте IP-адреса, с которых разрешен доступ к административной панели (HTTPS/SSH). Доступ должен предоставляться только из выделенных VLAN управления или через VPN (Jump Hosts).
  2. Для настройки доверенных хостов (Trusted Hosts) для администратора выполните:
config system admin
edit "admin"
set trusthost1 10.0.0.0 255.255.255.0
next
end
  1. Отключение доступа к управлению на внешних (WAN) интерфейсах. Убедитесь, что административный доступ (HTTPS, SSH, HTTP, Telnet) полностью отключен на всех интерфейсах, смотрящих в интернет.
  2. Для проверки и отключения доступа на WAN-интерфейсе (например, port1) используйте команды:
config system interface
edit "port1"
unset allowaccess
next
end
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей