Alte Schwachstelle in Fortinet-Firewalls wird aktiv angegriffen

Update: 14. Januar 2026:


Fortinet verteilt aktualisierte Software, um teils kritische Sicherheitslücken unter anderem in FortiSIEM und FortiFone zu schliessen. IT-Verantwortliche sollten sie rasch installieren, da Schwachstellen in Fortinet-Produkten häufig im Visier von Cyberkriminellen stehen.

In FortiSIEM können Angreifer aus dem Netz über gezielt präparierte TCP-Anfragen beliebige Befehle und Code einschleusen (CVE-2025-64155, CVSS 9.4, Risiko „kritisch“). Grund ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die Versionen FortiSIEM 7.4.1, 7.3.5, 7.2.7 und 7.1.9. Wer ältere Fassungen einsetzt, muss auf eine der fehlerkorrigierten Stände migrieren. FortiFone 7.0.2 und 3.0.24 oder neuer stopfen zudem eine Lücke, über die nicht autorisierte Angreifer per manipulierten HTTP- oder HTTPS-Anfragen sensible Informationen aus dem FortiFone-Webportal ausspähen können – ohne sich vorher anmelden zu müssen (CVE-2025-47855, CVSS 9.3, Risiko „kritisch“).

Weitere Sicherheitslücken

Eine hochriskante Sicherheitslücke stopfen Updates in FortiOS und FortiSwitchManager. Mit präparierten Anfragen an den cw_acd-Daemon können nicht authentifizierte Angreifer aus dem Netz einen Heap-basierten Pufferüberlauf provozieren. Dabei kann eingeschleuster Schadcode zur Ausführung gelangen (CVE-2025-25249, CVSS 7.4, Risiko „hoch“).

Als temporäre Massnahme können Admins den „fabric“-Access auf allen Interfaces entfernen. Korrekt dichten die Versionen FortiOS 7.6.4, 7.4.9, 7.2.12, 7.0.18 und 6.4.17, FortiSASE 25.2.c sowie FortiSwitchManager 7.2.7 und 7.0.6 oder neuer das Sicherheitsleck ab. FortiSASE 25.1.a.2 ist verwundbar, jedoch ist zum Ausbessern der Schwachstelle die Migration auf 25.2.c erforderlich.

Zudem korrigiert Fortinet noch sicherheitsrelevante Fehler mit mittlerer oder niedriger Risikoeinstufung in FortiClientEMS, FortiVoice und FortiSandbox.

Die Liste der einzelnen Sicherheitsmitteilungen:

Fortinet-Sicherheitslücken sind immer wieder im Visier von Angreifern. Vergangene Woche hatte die US-amerikanische IT-Sicherheitsbehörde CISA etwa vor laufenden Attacken im Internet auf eine kritische Sicherheitslücke aus dem Jahr 2020 gewarnt. Mitte Dezember erfolgten zudem Angriffe in freier Wildbahn auf eine Lücke im Single-Sign-On von FortiOS, FortiProxy, FortiSwitchManager und FortiWeb.

Quelle: Heise Security

31. Dezember 2025

Alte Sicherheitslücken in Fortinet-Firewalls werden derzeit wieder verbreitet angegriffen.
Handeln/Patchen ist dringend erforderlich!

Tracked as CVE-2020-12812, the exploited FortiOS vulnerability exists because, in certain configurations, users can authenticate without being prompted for two-factor authentication (2FA).

The security defect, Fortinet says, is due to differences in the behavior of FortiGate and LDAP Directory when it comes to authentication: while FortiGate treats usernames as case-sensitive by default, LDAP Directory does not.

Attackers can change the case of the username, which results in the impacted appliance not requesting the second factor of authentication (FortiToken).

“This happens when two-factor authentication is enabled in the ‘user local’ setting, and that user authentication type is set to a remote authentication method,” Fortinet said in July 2020.

CVE-2020-12812 is known to have been exploited in attacks, including by ransomware groups and state-sponsored threat actors.

Now, Fortinet says hackers are once again abusing the vulnerability to bypass 2FA, but only against specific configurations. From Fortinet’s fresh advisory:

To trigger this issue, an organization must have the following configuration present:

  • Local user entries on the FortiGate with 2FA, referencing back to LDAP:
  • The same users need to be members of a group on the LDAP server. Example: user jsmith is a member of ‘Domain Users’, ‘Helpdesk’.
  • At least one LDAP group the two-factor users are a member of needs to be configured on FortiGate e.g. ‘Domain Users’, ‘Helpdesk’, and the group needs to be used in an authentication policy which could include for example administrative users, SSL or IPSEC VPN.
Weiterlesen…
Zurück zu IT-News

Ähnliche Beiträge

  • Android Security Update 12/25

    03. Dezember 2025 Google veröffentlicht Android Security-Patch Dezember 2025 Google on Monday released monthly security updates for the Android operating system, including two vulnerabilities that it said have been exploited in the wild.The patch addresses a total of 107 security flaws spanning different components, including Framework, System, Kernel, as well as those from Arm, Imagination Technologies, MediaTek, Qualcomm, and Unison.The two high-severity shortcomings that have been exploited…

  • Windows 11 härten und personalisieren – ein Leitfaden

    27. Januar 2026 Immer mehr Menschen machen sich Sorgen über grosse Technologieunternehmen die ständig Ihre persönlichen Daten sammeln. Es ist möglich die Privatsphäre–Auswirkungen erheblich zu reduzieren wenn es geht um das am weitesten verbreitete Workstation-Betriebssystem: Windows 11. Es ist wichtig, dass Ihre Windows 11-Installation so optimiert ist, dass Ihre persönlichen Daten geschützt sind. Vor allem In einer digitalen Zeit in der Datenschutz und Sicherheit von…

  • Windows Server 2016 – bald keine Updates mehr!

    25. Februar 2026 Windows-Versionen aus 2016 erhalten in Kürze keinen Support mehr. Erweiterte Sicherheits-Updates (ESU) sind jedoch in Planung. Besonders kritisch ist es bei Windows Server 2016, welches noch millionenfach weltweit im Einsatz steht. Microsoft beendet den Support für drei Windows-Produkte, die im Jahr 2016 erschienen sind. Das nahende Aus lässt sich etwa mit erweiterten Sicherheits-Updates (ESU) hinauszögern – natürlich mit einem Preis verbunden. Was…

  • Hacker versuchen, Firmen auszutricksen (mit ZIP-Rechnungen)

    19. März 2026 Vermehrt melden sich Unternehmen beim BACS, nachdem sie verdächtige Rechnungen per E‑Mail erhalten haben. Den Nachrichten ist jeweils eine ZIP-Datei angefügt, die wiederum eine HTML-Datei enthält. Auf den ersten Blick wirkt die darin dargestellte Rechnung unscheinbar: Keine Links, keine Auffälligkeiten, keinerlei Hinweise auf Schadsoftware. Doch dieser Eindruck täuscht. Der aktuelle Wochenrückblick zeigt eindrücklich, wie viel Aufwand die Angreifer betreiben, um ihre Angriffe zu…

  • ConsentFIX-Lücke lässt Microsoft-Konten übernehmen

    15. Dezember 2025 A new variation of the ClickFix scam tries to get around phishing defenses by capturing an employee’s OAuth authentication token for Microsoft logins (ConsentFix vulnerability) Researchers at Push Security this week outlined the tactic, which they call ConsentFix, in a blog, calling it “a dangerous evolution of ClickFix and consent phishing that is incredibly hard for traditional security tools to detect and…

  • Motorola stellt Moto G77 und G67 vor: Das bieten die neuen Mittelklasse-Smartphones

    5. Februar 2026 Mit dem Moto G77 und dem Moto G67 bringt Motorola gleich zwei neue Mittelklasse-Smartphones mit attraktivem Preis-Leistungs-Verhältnis unter anderem in Deutschland und der Schweiz auf den Markt. Damit ist Motorola Samsung zuvorgekommen, das seine beiden Mittelklasse-Smartphones Galaxy A57 und Galaxy A37 voraussichtlich Mitte Februar 2026 vorstellen will. Beide Modelle verfügen über ein 6,78 Zoll grosses AMOLED-Display mit einer maximalen Bildwiederholrate von 120 Hertz. Gegenüber den Vorgängermodellen bietet es…