Update: 14. Januar 2026:
Fortinet verteilt aktualisierte Software, um teils kritische Sicherheitslücken unter anderem in FortiSIEM und FortiFone zu schliessen. IT-Verantwortliche sollten sie rasch installieren, da Schwachstellen in Fortinet-Produkten häufig im Visier von Cyberkriminellen stehen.
In FortiSIEM können Angreifer aus dem Netz über gezielt präparierte TCP-Anfragen beliebige Befehle und Code einschleusen (CVE-2025-64155, CVSS 9.4, Risiko „kritisch“). Grund ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die Versionen FortiSIEM 7.4.1, 7.3.5, 7.2.7 und 7.1.9. Wer ältere Fassungen einsetzt, muss auf eine der fehlerkorrigierten Stände migrieren. FortiFone 7.0.2 und 3.0.24 oder neuer stopfen zudem eine Lücke, über die nicht autorisierte Angreifer per manipulierten HTTP- oder HTTPS-Anfragen sensible Informationen aus dem FortiFone-Webportal ausspähen können – ohne sich vorher anmelden zu müssen (CVE-2025-47855, CVSS 9.3, Risiko „kritisch“).
Weitere Sicherheitslücken
Eine hochriskante Sicherheitslücke stopfen Updates in FortiOS und FortiSwitchManager. Mit präparierten Anfragen an den cw_acd-Daemon können nicht authentifizierte Angreifer aus dem Netz einen Heap-basierten Pufferüberlauf provozieren. Dabei kann eingeschleuster Schadcode zur Ausführung gelangen (CVE-2025-25249, CVSS 7.4, Risiko „hoch“).
Als temporäre Massnahme können Admins den „fabric“-Access auf allen Interfaces entfernen. Korrekt dichten die Versionen FortiOS 7.6.4, 7.4.9, 7.2.12, 7.0.18 und 6.4.17, FortiSASE 25.2.c sowie FortiSwitchManager 7.2.7 und 7.0.6 oder neuer das Sicherheitsleck ab. FortiSASE 25.1.a.2 ist verwundbar, jedoch ist zum Ausbessern der Schwachstelle die Migration auf 25.2.c erforderlich.
Zudem korrigiert Fortinet noch sicherheitsrelevante Fehler mit mittlerer oder niedriger Risikoeinstufung in FortiClientEMS, FortiVoice und FortiSandbox.
Die Liste der einzelnen Sicherheitsmitteilungen:
- FortiSIEM Unauthenticated remote command injection, CVE-2025-64155, CVSS 9.4, Risiko „kritisch“
- FortiFone Unauthenticated access to local configuration, CVE-2025-47855, CVSS 9.3, Risiko „kritisch“
- FortiOS, FortiSASE, FortiSwitchManager Heap-based buffer overflow in cw_acd daemon, CVE-2025-25249, CVSS 7.4, Risiko „hoch“
- FortiClientEMS Authenticated SQL injection in API endpoint, CVE-2025-59922, CVSS 6.8, Risiko „mittel“
- FortiVoice Arbitrary file deletion in administrative interface, CVE-2025-58693, CVSS 5.7, Risiko „mittel“
- FortiSandbox SSRF in GUI console, CVE-2025-67685, CVSS 3.4, Risiko „niedrig“
Fortinet-Sicherheitslücken sind immer wieder im Visier von Angreifern. Vergangene Woche hatte die US-amerikanische IT-Sicherheitsbehörde CISA etwa vor laufenden Attacken im Internet auf eine kritische Sicherheitslücke aus dem Jahr 2020 gewarnt. Mitte Dezember erfolgten zudem Angriffe in freier Wildbahn auf eine Lücke im Single-Sign-On von FortiOS, FortiProxy, FortiSwitchManager und FortiWeb.
Quelle: Heise Security
31. Dezember 2025
Alte Sicherheitslücken in Fortinet-Firewalls werden derzeit wieder verbreitet angegriffen.
Handeln/Patchen ist dringend erforderlich!
Tracked as CVE-2020-12812, the exploited FortiOS vulnerability exists because, in certain configurations, users can authenticate without being prompted for two-factor authentication (2FA).
The security defect, Fortinet says, is due to differences in the behavior of FortiGate and LDAP Directory when it comes to authentication: while FortiGate treats usernames as case-sensitive by default, LDAP Directory does not.
Attackers can change the case of the username, which results in the impacted appliance not requesting the second factor of authentication (FortiToken).
“This happens when two-factor authentication is enabled in the ‘user local’ setting, and that user authentication type is set to a remote authentication method,” Fortinet said in July 2020.
CVE-2020-12812 is known to have been exploited in attacks, including by ransomware groups and state-sponsored threat actors.
Now, Fortinet says hackers are once again abusing the vulnerability to bypass 2FA, but only against specific configurations. From Fortinet’s fresh advisory:
To trigger this issue, an organization must have the following configuration present:
- Local user entries on the FortiGate with 2FA, referencing back to LDAP:
- The same users need to be members of a group on the LDAP server. Example: user jsmith is a member of ‘Domain Users’, ‘Helpdesk’.
- At least one LDAP group the two-factor users are a member of needs to be configured on FortiGate e.g. ‘Domain Users’, ‘Helpdesk’, and the group needs to be used in an authentication policy which could include for example administrative users, SSL or IPSEC VPN.
