La sicurezza delle infrastrutture di rete globali è nuovamente sotto pressione a seguito dell’ultimo advisory diramato da Fortinet. L’azienda ha segnalato una situazione di alto rischio riguardante la Vulnerabilità FortiCloud SSO, una falla che espone i sistemi a intrusioni non autorizzate senza la necessità di credenziali valide. L’allerta del 9 dicembre 2025 evidenzia come la funzione di Single Sign-On, spesso attivata automaticamente durante la registrazione a FortiCare, sia diventata un vettore di attacco imprevisto. Migliaia di dispositivi enterprise, configurati con opzioni di fabbrica, si trovano ora esposti a causa di questa dinamica, che amplia la superficie di attacco ben oltre le aspettative degli amministratori di rete.
Cosa leggere
Dettagli tecnici su CVE-2025-59718 e CVE-2025-59719
Il cuore del problema è stato catalogato con due identificativi specifici che gli esperti di sicurezza devono monitorare con priorità assoluta: CVE-2025-59718 e CVE-2025-59719. La prima vulnerabilità colpisce trasversalmente i sistemi di gestione core, permettendo agli attaccanti di aggirare i controlli di sicurezza nei meccanismi di autenticazione condivisi. La seconda CVE replica la medesima criticità ma è specifica per l’ambiente FortiWeb, estendendo il pericolo alla protezione applicativa. Sebbene Fortinet non abbia ancora rilasciato un punteggio CVSS definitivo nell’advisory iniziale, la comunità di ricerca classifica queste falle come critiche. La facilità di esecuzione dell’exploit e la possibilità di ottenere accessi privilegiati silenziosi hanno messo in stato di allerta governi e cloud provider, con la previsione che proof-of-concept pubblici possano emergere a breve termine.
Il meccanismo del bypass autenticazione SAML
L’aspetto più insidioso di queste vulnerabilità risiede nella tecnica utilizzata per l’intrusione: un Bypass autenticazione SAML. Il difetto risiede in una “improper verification of cryptographic signature”, ovvero un errore nella validazione delle firme crittografiche all’interno del flusso SAML. Gli attori malevoli possono inviare messaggi SAML manipolati che il sistema accetta erroneamente come autentici, garantendo l’accesso ai pannelli amministrativi senza che venga fornita alcuna password reale. Le simulazioni condotte dagli analisti hanno confermato che replicare questo bypass in ambienti controllati è tecnicamente semplice, rendendo la minaccia concreta e immediata per chiunque non abbia applicato misure correttive.
Impatto su FortiOS e FortiProxy
L’estensione del danno è preoccupante perché coinvolge l’ecosistema FortiOS e FortiProxy, pilastri della sicurezza perimetrale di moltissime aziende. FortiOS, che governa firewall e VPN, se compromesso permette agli attaccanti di modificare regole di traffico, installare malware o aprire backdoor persistenti. Anche FortiSwitchManager rientra nella lista dei prodotti affetti, mettendo a rischio la gestione fisica degli switch di rete. La storia recente insegna che gruppi come Volt Typhoon sfruttano rapidamente queste finestre di opportunità per condurre campagne di cyber-spionaggio o distribuire ransomware. Un accesso amministrativo ottenuto tramite queste falle può tradursi in una compromissione totale della rete, con violazioni che impattano anche la compliance GDPR e la sicurezza delle supply chain.
Come disabilitare FortiCloud SSO
In attesa di applicare le patch correttive rilasciate sul portale FortiGuard, la mitigazione immediata e obbligatoria consiste nel disabilitare FortiCloud SSO. Fortinet raccomanda di agire tempestivamente tramite interfaccia grafica o, per maggiore sicurezza e rapidità su larga scala, utilizzando la Command Line Interface (CLI).
config system global
set admin-forticloud-sso-login disable
endGli amministratori devono eseguire i comandi di configurazione globale per settare l’opzione admin-forticloud-sso-login su disable. Questa operazione blocca immediatamente l’accettazione di messaggi SAML esterni, neutralizzando il vettore di attacco. È inoltre essenziale verificare i log per tracce di accessi anomali pregressi e auditare le integrazioni SAML di terze parti, segmentando la rete per prevenire movimenti laterali nel caso in cui il perimetro sia già stato violato.
