Поделиться
Файерволы Fortinet подвергаются автоматизированным атакам
Второй раз за последние два месяца наблюдаются автоматизированные атаки против устройств под управлением FortiOS. Патчи к используемым уязвимостям выходили, но, по-видимому, оказались неэффективными
Угнать за N секунд
Исследователи команды Arctic Wolf выпустили предупреждение о новом кластере угроз, осуществляющим автоматизированные атаки против файерволов Fortinet FortiGate.
Новая волна атак началась 15 января 2026 г.: судя по всему, злоумышленники эксплуатируют уязвимости CVE-2025-59718 и CVE-2025-59719. В декабре эти уязвимости атаковали в рамках сходной кампании. Fortinet тогда выпустил патчи, но сейчас есть основания полагать, что исправления оказались неэффективными.
Обе эти уязвимости позволяют обходить аутентификацию SSO (если эта опция активна) с помощью специально сконструированных SAML-сообщений.
Уязвимости затрагивают FortiOS, FortiWeb, FortiProxy и FortiSwitchManager.
«Вредоносная активность включает создание рядовых аккаунтов, которые затем используются для обеспечения постоянства присутствия, внесения изменений в настройки для установления VPN-доступа к этим аккаунтам, а также вывод информации о настройках файерволов», - говорится в публикации Arctic Wolf, посвящённой новой волне атак.
В частности, хакеры создавали аккаунт cloud-init@mail.io и с четырёх разных IP-адресов устанавливали соединения через логины в SSO. В ответ файлы настроек файерволов экспортировались на те же IP-адреса через GUI-интерфейс.
IP-адреса перечислены в публикации Arctic Wolf; два из них относятся к CDN Cloudflare, один к российскому провайдеру Galeon (причём этот адрес - 217.119.139.50 - пользуется весьма дурной славой контрольного сервера ряда ботнетов), ещё один - к американскому провайдеру Hivelocity.
По запросам с этих адресов также создавались аккаунты под названием secadmin, itadmin, support, backup, remoteadmin и audit.
Всё это происходило в течение нескольких секунд, что явственно свидетельствует об автоматизированной природе этих атак.
Удобная мишень
Издание Hacker News указывает на пост в Reddit, где множество пользователей сообщили о вредоносной активности в отношении SSO на устройствах под FortiOS, на которые установлены все патчи.
Один из пользователей заявил, что в Fortinet ему сообщили о том, что уязвимости сохраняются в последних версиях, несмотря на то, что вендор заявлял о выпуске патча. Сейчас Fortinet обещает исправить проблему в обновлениях 7.4.11, 7.6.6 и 8.0.0.
«По всей видимости, предыдущий патч не обеспечивал полноценной защиты от указанных уязвимостей, - считает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - Файерволы Fortinet, как и любые другие, - весьма желанная мишень для хакеров: если их удаётся скомпрометировать, то открывается доступ ко всем сетевым ресурсам, находящимся за ними, и возможности манипулировать хранящимися в них данными».
В качестве промежуточной защитной меры рекомендуется хотя бы временно отключить логин по SSO для администраторов.
Поделиться
Короткая ссылка
