Fortinet-SSO-Lücke, Unternehmensnetzwerke

Fortinet-SSO-Lücke gefährdet Unternehmensnetzwerke weltweit

28.01.2026 - 06:01:11

Eine kritische Sicherheitslücke in Fortinet-Produkten ermöglicht Administratorenzugriff und wird aktiv ausgenutzt. Selbst bereits aktualisierte Systeme sind nun betroffen, was mobile Mitarbeiter besonders gefährdet.

Fortinet-SSO-Lücke gefährdet Unternehmensnetzwerke weltweit - Foto: über boerse-global.de
Fortinet-SSO-Lücke gefährdet Unternehmensnetzwerke weltweit - Foto: über boerse-global.de

Eine kritische Sicherheitslücke in Fortinet-Produkten ermöglicht Angreifern administrativen Zugriff. Besonders gefährdet sind mobile Mitarbeiter, die über VPN auf Firmennetze zugreifen. Die Bedrohung eskaliert: Selbst bereits gepatchte Systeme werden jetzt attackiert.

Zwei Schwachstellen mit extremem Risiko

Die Wurzel des Problems sind zwei Sicherheitslücken, die Fortinet selbst im Dezember 2025 offenlegte. Unter den Kennungen CVE-2025-59718 und CVE-2025-59719 verbarg sich ein gravierender Fehler: Die kryptografischen Signaturen in der FortiCloud SSO-Anmeldefunktion wurden nicht korrekt überprüft.

  • Betroffene Produkte: FortiOS, FortiProxy, FortiWeb und FortiSwitchManager
  • Bewertung: Ein CVSS-Score von 9.8 signalisiert extremes Risiko.
  • Folge: Ein Angreifer konnte durch manipulierte SAML-Nachrichten die Authentifizierung komplett umgehen.

Bereits kurz nach Veröffentlichung der ersten Patches nutzten Kriminelle die Lücke aktiv aus. Sie kaperten Administratorenkonten und stahlen Gerätekonfigurationen. Die US-Cybersicherheitsbehörde CISA nahm die Schwachstelle daraufhin in ihre Liste aktiv ausgenutzter Lücken auf.

Anzeige

Unternehmen sind aktuell massiv gefährdet — Angreifer nutzen Fernzugriffe auf Firewalls und umgehen SSO, um VPN‑Verbindungen von mobilen Mitarbeitenden zu kompromittieren. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt in klaren, sofort umsetzbaren Schritten, wie IT‑Teams Patch‑Management, SSO‑Härtung und Mobile‑Endpoint‑Policies verbessern, verdächtige Log‑Indikatoren erkennen und Admin‑Konten sichern. Enthalten sind Checklisten für Notfallmaßnahmen nach aktiver Ausnutzung. Jetzt kostenlosen Cyber‑Security‑Leitfaden sichern

Warum mobile Nutzer im Fadenkreuz stehen

Die direkte Gefahr trifft Mitarbeiter mit Smartphones und Laptops. Sie verbinden sich über VPN-Clients wie FortiClient mit dem Firmennetzwerk. Wird die zentrale Firewall kompromittiert, ist der sichere VPN-Tunnel wertlos.

Ein Angreifer mit Admin-Rechten kann dann:
* Den gesamten Datenverkehr der mobilen Geräte überwachen.
* Sensible Informationen abgreifen.
* Sich im internen Netzwerk weiter ausbreiten.

Die Bequemlichkeit des Single Sign-Ons schlägt hier in ein massives Sicherheitsrisiko um.

Neue Angriffswelle überrascht Experten

Ende Januar 2026 eskalierte die Lage. Fortinet gab bekannt, dass selbst Systeme attackiert wurden, die bereits auf die neuesten, gepatchten Versionen aktualisiert waren. Diese neue Angriffswelle deutet stark auf eine bisher unbekannte Zero-Day-Lücke oder einen alternativen Angriffspfad hin.

Als Reaktion deaktivierte Fortinet den FortiCloud-SSO-Zugang vorübergehend. Der Zugriff ist zwar wiederhergestellt, aber von verwundbaren Geräten blockiert. Das Unternehmen arbeitet unter Hochdruck an einem neuen Sicherheitsupdate.

Edge-Geräte als beliebtes Angriffsziel

Die Attacken auf Fortinet sind Teil eines Trends: Cyberkriminelle zielen gezielt auf Edge-Geräte wie Firewalls und VPN-Konzentratoren ab. Diese Geräte sitzen am Übergang zwischen Unternehmensnetz und Internet und sind daher das perfekte Einfallstor.

Die aktuelle Krise zeigt ein fundamentales Dilemma: Komfortfunktionen wie Single Sign-On verbessern die Nutzerfreundlichkeit enorm. Eine fehlerhafte Implementierung macht sie jedoch zum zentralen Schwachpunkt für das gesamte Netzwerk.

Was Administratoren jetzt tun müssen

Die Bedrohung ist akut und aktiv. Unternehmen mit Fortinet-Produkten müssen umgehend handeln.

  1. SSO deaktivieren: Die FortiCloud SSO-Anmeldefunktion sollte vorübergehend abgeschaltet werden, sofern noch nicht geschehen.
  2. Systeme patchen: Alle betroffenen Systeme müssen auf die von Fortinet bereitgestellten sicheren Versionen aktualisiert werden.
  3. Wachsam bleiben: Angesichts der neuen Angriffe auf gepatchte Geräte ist es kritisch, die Ankündigungen von Fortinet genau zu verfolgen und den nächsten Patch sofort zu installieren.
  4. Passwörter zurücksetzen: Bei Verdacht auf unbefugten Zugriff sollten alle Anmeldedaten für die Firewalls als kompromittiert betrachtet und zurückgesetzt werden.
  5. Protokolle prüfen: Die Überwachung von Anmelde- und Systemlogs auf verdächtige Aktivitäten hat jetzt höchste Priorität.
Anzeige

PS: Sie wollen die nächste Angriffswelle abwehren? Dieser Gratis‑Report fasst aktuelle Angriffsvektoren, Zero‑Day‑Erkennungsregeln und Awareness‑Maßnahmen zusammen, die sich binnen Tagen in Unternehmen umsetzen lassen — von VPN‑Härtung bis zum mobilen Incident Response. Ideal für Administratoren und IT‑Leiter, die jetzt Prioritäten setzen müssen. Gratis Cyber‑Security‑Report anfordern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.