Специалисты по кибербезопасности из Arctic Wolf Labs 12 декабря 2025 года зафиксировали активную эксплуатацию критических уязвимостей в устройствах Fortinet FortiGate. Атаки со стороны злоумышленников начались менее чем через неделю после публичного раскрытия информации о брешах в защите. Под угрозой оказался широкий спектр сетевого оборудования, используемого корпоративными клиентами.
Выявленные уязвимости получили идентификаторы CVE-2025-59718 и CVE-2025-59719. Обе проблемы классифицируются как критические и имеют максимально высокую оценку опасности — 9.8 баллов по шкале CVSS. Природа недостатков заключается в возможности обхода аутентификации, что делает устройства уязвимыми для несанкционированного доступа извне.
Механизм атаки базируется на обходе входа через систему единого входа (SSO) без аутентификации. Злоумышленники используют специально сформированные сообщения SAML (crafted SAML messages), что позволяет им манипулировать процессом входа. В случае успеха хакеры получают контроль над целевой системой, минуя стандартные процедуры проверки личности.
В зону риска попадают несколько семейств программных продуктов: FortiOS, FortiWeb, FortiProxy и FortiSwitchManager. Обязательным условием для успешной атаки является включенная функция FortiCloud SSO. Хотя по умолчанию этот статус отключен, он автоматически активируется во время регистрации FortiCare. Для защиты администраторы должны вручную отключить настройку «Allow administrative login using FortiCloud SSO» на странице регистрации.
Основной мишенью текущей кампании является административная учетная запись «admin». Исследователи Arctic Wolf установили, что атакующие осуществляют вредоносные входы через SSO, используя инфраструктуру нескольких хостинг-провайдеров. В списке идентифицированных источников атак значатся The Constant Company llc, Bl Networks и Kaopu Cloud Hk Limited.
Компания Fortinet выпустила необходимые патчи на прошлой неделе. Эксперты по безопасности рекомендуют немедленно установить обновления, а до этого момента отключить FortiCloud SSO. Также критически важно ограничить доступ к интерфейсам управления, таким как брандмауэры и VPN, разрешив его исключительно доверенным внутренним пользователям.
Если в системе обнаружены индикаторы компрометации (IoC), необходимо считать устройство взломанным. В рамках протокола действий после взлома требуется обязательно сбросить хешированные учетные данные брандмауэра, которые могли быть сохранены в эксфильтрованных конфигурациях. Существует высокий риск того, что злоумышленники проведут офлайн-взлом хешей, в частности атаки по словарю, для восстановления слабых паролей.
Изображение носит иллюстративный характер
Выявленные уязвимости получили идентификаторы CVE-2025-59718 и CVE-2025-59719. Обе проблемы классифицируются как критические и имеют максимально высокую оценку опасности — 9.8 баллов по шкале CVSS. Природа недостатков заключается в возможности обхода аутентификации, что делает устройства уязвимыми для несанкционированного доступа извне.
Механизм атаки базируется на обходе входа через систему единого входа (SSO) без аутентификации. Злоумышленники используют специально сформированные сообщения SAML (crafted SAML messages), что позволяет им манипулировать процессом входа. В случае успеха хакеры получают контроль над целевой системой, минуя стандартные процедуры проверки личности.
В зону риска попадают несколько семейств программных продуктов: FortiOS, FortiWeb, FortiProxy и FortiSwitchManager. Обязательным условием для успешной атаки является включенная функция FortiCloud SSO. Хотя по умолчанию этот статус отключен, он автоматически активируется во время регистрации FortiCare. Для защиты администраторы должны вручную отключить настройку «Allow administrative login using FortiCloud SSO» на странице регистрации.
Основной мишенью текущей кампании является административная учетная запись «admin». Исследователи Arctic Wolf установили, что атакующие осуществляют вредоносные входы через SSO, используя инфраструктуру нескольких хостинг-провайдеров. В списке идентифицированных источников атак значатся The Constant Company llc, Bl Networks и Kaopu Cloud Hk Limited.
Компания Fortinet выпустила необходимые патчи на прошлой неделе. Эксперты по безопасности рекомендуют немедленно установить обновления, а до этого момента отключить FortiCloud SSO. Также критически важно ограничить доступ к интерфейсам управления, таким как брандмауэры и VPN, разрешив его исключительно доверенным внутренним пользователям.
Если в системе обнаружены индикаторы компрометации (IoC), необходимо считать устройство взломанным. В рамках протокола действий после взлома требуется обязательно сбросить хешированные учетные данные брандмауэра, которые могли быть сохранены в эксфильтрованных конфигурациях. Существует высокий риск того, что злоумышленники проведут офлайн-взлом хешей, в частности атаки по словарю, для восстановления слабых паролей.
