Alte Schwachstelle in Fortinet-Firewalls wird aktiv angegriffen

Update: 14. Januar 2026:


Fortinet verteilt aktualisierte Software, um teils kritische Sicherheitslücken unter anderem in FortiSIEM und FortiFone zu schliessen. IT-Verantwortliche sollten sie rasch installieren, da Schwachstellen in Fortinet-Produkten häufig im Visier von Cyberkriminellen stehen.

In FortiSIEM können Angreifer aus dem Netz über gezielt präparierte TCP-Anfragen beliebige Befehle und Code einschleusen (CVE-2025-64155, CVSS 9.4, Risiko „kritisch“). Grund ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die Versionen FortiSIEM 7.4.1, 7.3.5, 7.2.7 und 7.1.9. Wer ältere Fassungen einsetzt, muss auf eine der fehlerkorrigierten Stände migrieren. FortiFone 7.0.2 und 3.0.24 oder neuer stopfen zudem eine Lücke, über die nicht autorisierte Angreifer per manipulierten HTTP- oder HTTPS-Anfragen sensible Informationen aus dem FortiFone-Webportal ausspähen können – ohne sich vorher anmelden zu müssen (CVE-2025-47855, CVSS 9.3, Risiko „kritisch“).

Weitere Sicherheitslücken

Eine hochriskante Sicherheitslücke stopfen Updates in FortiOS und FortiSwitchManager. Mit präparierten Anfragen an den cw_acd-Daemon können nicht authentifizierte Angreifer aus dem Netz einen Heap-basierten Pufferüberlauf provozieren. Dabei kann eingeschleuster Schadcode zur Ausführung gelangen (CVE-2025-25249, CVSS 7.4, Risiko „hoch“).

Als temporäre Massnahme können Admins den „fabric“-Access auf allen Interfaces entfernen. Korrekt dichten die Versionen FortiOS 7.6.4, 7.4.9, 7.2.12, 7.0.18 und 6.4.17, FortiSASE 25.2.c sowie FortiSwitchManager 7.2.7 und 7.0.6 oder neuer das Sicherheitsleck ab. FortiSASE 25.1.a.2 ist verwundbar, jedoch ist zum Ausbessern der Schwachstelle die Migration auf 25.2.c erforderlich.

Zudem korrigiert Fortinet noch sicherheitsrelevante Fehler mit mittlerer oder niedriger Risikoeinstufung in FortiClientEMS, FortiVoice und FortiSandbox.

Die Liste der einzelnen Sicherheitsmitteilungen:

Fortinet-Sicherheitslücken sind immer wieder im Visier von Angreifern. Vergangene Woche hatte die US-amerikanische IT-Sicherheitsbehörde CISA etwa vor laufenden Attacken im Internet auf eine kritische Sicherheitslücke aus dem Jahr 2020 gewarnt. Mitte Dezember erfolgten zudem Angriffe in freier Wildbahn auf eine Lücke im Single-Sign-On von FortiOS, FortiProxy, FortiSwitchManager und FortiWeb.

Quelle: Heise Security

31. Dezember 2025

Alte Sicherheitslücken in Fortinet-Firewalls werden derzeit wieder verbreitet angegriffen.
Handeln/Patchen ist dringend erforderlich!

Tracked as CVE-2020-12812, the exploited FortiOS vulnerability exists because, in certain configurations, users can authenticate without being prompted for two-factor authentication (2FA).

The security defect, Fortinet says, is due to differences in the behavior of FortiGate and LDAP Directory when it comes to authentication: while FortiGate treats usernames as case-sensitive by default, LDAP Directory does not.

Attackers can change the case of the username, which results in the impacted appliance not requesting the second factor of authentication (FortiToken).

“This happens when two-factor authentication is enabled in the ‘user local’ setting, and that user authentication type is set to a remote authentication method,” Fortinet said in July 2020.

CVE-2020-12812 is known to have been exploited in attacks, including by ransomware groups and state-sponsored threat actors.

Now, Fortinet says hackers are once again abusing the vulnerability to bypass 2FA, but only against specific configurations. From Fortinet’s fresh advisory:

To trigger this issue, an organization must have the following configuration present:

  • Local user entries on the FortiGate with 2FA, referencing back to LDAP:
  • The same users need to be members of a group on the LDAP server. Example: user jsmith is a member of ‘Domain Users’, ‘Helpdesk’.
  • At least one LDAP group the two-factor users are a member of needs to be configured on FortiGate e.g. ‘Domain Users’, ‘Helpdesk’, and the group needs to be used in an authentication policy which could include for example administrative users, SSL or IPSEC VPN.
Weiterlesen…
Zurück zu IT-News

Ähnliche Beiträge

  • Plattform VMWARE ESX über Management-Interface angreifbar

    29. Januar 2026 Das deutsche BSI warnt vor vielen verwundbaren VMware-ESXi-Servern im Netz. Das CERT-Bund des BSI warnt vor rund 2500 aus dem Internet erreichbaren Management-Interfaces von VMware-ESXi-Servern mit Sicherheitslecks. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik untersucht den deutschen Teil des Internets nach verwundbaren Diensten. Dabei kam es in der vergangenen Woche auf rund 2500 verwundbare VMware ESXi-Instanzen, deren Verwaltungsschnittstellen offen aus…

  • Russland blockiert Apples Facetime

    05. Dezember 2025 Russland geht gegen Apple vor Russia has blocked Apple’s (AAPL.O), opens new tab video-calling app FaceTime, the state communications watchdog said on Thursday, as part of an accelerating clampdown on foreign tech platforms that authorities allege are being used for criminal activity. The move follows restrictions against Google’s YouTube, Meta’s (META.O), opens new tab WhatsApp and the Telegram messaging service. The Reuters Tariff Watch newsletter is…

  • Adobe Reader startet nach Patch nicht mehr

    09. Dezember 2025 Ein Patch sorgt für Probleme beim Acrobat Reader Adobe hat am 2. Dezember 2025 ein Update für Acrobat Reader veröffentlicht, das bei zahlreichen Anwendern zu erheblichen Problemen führt. Wie Berichte in verschiedenen Online-Foren wie Reddit zeigen, lässt sich die Version 25.001.20982 auf vielen Systemen nicht mehr starten. Betroffen sind sowohl Einzelnutzer als auch Unternehmen, die die Software über Verteilungstools wie PDQ Connect eingerichtet haben….

  • Schweizer Messenger-Dienst Threema von deutscher Firma aufgekauft

    14. Januar 2026 Comitis Capital übernimmt die Schweizer Softwarefirma und deren Messenger-Dienst. Der Investor will am “kompromisslosen Datenschutz” festhalten. Das Schweizer Softwareunternehmen Threema bekommt einen neuen Besitzer. Wie die deutsche Investmentfirma Comitis Capital mitteilt, hat sie eine Vereinbarung zum Kauf mit dem bisherigen Besitzer Afinum Management und den Threema-Gründern getroffen. Über den Kaufpreis wurden keine Angaben gemacht. Threema startete 2012, die dazugehörige Firma für den…

  • Microsoft Authenticator blockiert “gerootete” Smartphone!

    27. Februar 2026 Microsoft kündigt an, dass die Authenticator-App Jailbreaks und Rootzugang erkennen soll. Entra-Zugänge sollen dann gelöscht werden. Microsoft legt einen aktualisierten Zeitplan für eine geplante Jailbreak- und Root-Erkennung der Microsoft-Authenticator-App vor. Der Authenticator soll insbesondere Entra-ID-Zugänge schützen und von erkannten gerooteten Geräten löschen. Im Microsoft 365 Message Center haben die Entwickler den Beitrag MC1179154 (Kopie bei mc.merill.net) aktualisiert. Jetzt, Ende Februar, soll die…

  • KI-Kosten zu hoch?

    04. Dezember 2025 IBM-Chef hält aktuellen KI-Bauwahn für nicht tragbar Das Wettrüsten zwischen Hyperscalern verschlingt Billionen US-Dollar. IBM-CEO Arvind Krishna hinterfragt, wie wirtschaftlich das ist. Die Ausgaben für KI-Rechenzentren stehen in keinem Verhältnis zum erwarteten Profit, resümiert IBM-Chef Arvind Krishna in einem Podcast von The Verge. Sogenannte Hyperscaler wie Amazon, Google, Meta, Microsoft, OpenAI und xAI übertreffen sich regelmässig gegenseitig bei ihren Ankündigungen, wie viel Rechenkapazität…