Специалисты компании Arctic Wolf зафиксировали новый кластер автоматизированных кибератак, направленных на устройства Fortinet FortiGate. Согласно отчету, опубликованному изданием The Hacker News, злоумышленники активно эксплуатируют функцию единого входа FortiCloud Single Sign-On (SSO) для обхода механизмов аутентификации. Главной целью нападающих является несанкционированное изменение конфигураций межсетевых экранов, создание фальшивых учетных записей и кража конфиденциальных данных.
Техническая сторона инцидента связана с двумя идентификаторами уязвимостей: CVE-2025-59718 и CVE-2025-59719. Механизм эксплойта базируется на отправке специально созданных SAML-сообщений, что позволяет атакующим обойти проверку входа SSO без аутентификации. Критическим условием для успешной атаки является активированная функция FortiCloud SSO на целевом устройстве.
В зону риска попадает широкий спектр продуктов компании. Помимо операционной системы FortiOS, уязвимости затрагивают решения FortiWeb, FortiProxy и FortiSwitchManager. Это создает серьезную угрозу для корпоративных сетей, использующих данные продукты для обеспечения периметральной безопасности и управления сетевой инфраструктурой.
Текущая кампания атак началась 15 января 2026 года, однако эксперты отмечают связь с инцидентами, произошедшими в декабре 2025 года. В ходе предыдущей волны активности хакеры использовали вредоносные SSO-входы для компрометации административных аккаунтов различных хостинг-провайдеров. Нынешняя атака отличается высокой степенью автоматизации: все вредоносные действия происходят с интервалом в считанные секунды.
Алгоритм действий злоумышленников четко структурирован. Сначала они обеспечивают себе постоянное присутствие в системе путем создания типовых учетных записей. Затем следуют изменения конфигурации для предоставления VPN-доступа этим новым пользователям. Завершающим этапом становится кража (эксфильтрация) конфигурационных файлов межсетевого экрана, что может раскрыть структуру сети и правила безопасности организации.
Для маскировки своей деятельности хакеры используют неприметные имена учетных записей, которые сложно отличить от легитимных служебных аккаунтов. В списке индикаторов компрометации (IoC) значатся следующие имена пользователей: «secadmin», «itadmin», «support», «backup», «remoteadmin» и «audit». Наличие таких новых пользователей в системе без ведома администраторов является прямым признаком взлома.
Эксперты также выделили конкретные IP-адреса, с которых осуществляются атаки. Администраторам безопасности рекомендуется немедленно заблокировать трафик с адресов: 104.28.244.115, 104.28.212.114, 217.119.139.50 и 37.1.209.19. Эти сетевые индикаторы являются ключевыми для настройки правил фильтрации и предотвращения вторжений.
Особую тревогу вызывает тот факт, что атаки происходят даже на полностью обновленных устройствах. Пользователь на платформе Reddit сообщил, что команда разработчиков Fortinet подтвердила сохранение уязвимости даже в версии 7.4.10, фактически оставляя системы незащищенными. Издание The Hacker News обратилось к представителям Fortinet за разъяснениями, однако на момент публикации отчета официальных комментариев от вендора не поступило.
Единственным надежным способом защиты на данный момент является отключение уязвимой функции. Специалисты настоятельно рекомендуют администраторам немедленно деактивировать настройку «admin-forticloud-sso-login» в конфигурациях устройств, чтобы перекрыть вектор атаки до выпуска полноценного исправления.
Изображение носит иллюстративный характер
Техническая сторона инцидента связана с двумя идентификаторами уязвимостей: CVE-2025-59718 и CVE-2025-59719. Механизм эксплойта базируется на отправке специально созданных SAML-сообщений, что позволяет атакующим обойти проверку входа SSO без аутентификации. Критическим условием для успешной атаки является активированная функция FortiCloud SSO на целевом устройстве.
В зону риска попадает широкий спектр продуктов компании. Помимо операционной системы FortiOS, уязвимости затрагивают решения FortiWeb, FortiProxy и FortiSwitchManager. Это создает серьезную угрозу для корпоративных сетей, использующих данные продукты для обеспечения периметральной безопасности и управления сетевой инфраструктурой.
Текущая кампания атак началась 15 января 2026 года, однако эксперты отмечают связь с инцидентами, произошедшими в декабре 2025 года. В ходе предыдущей волны активности хакеры использовали вредоносные SSO-входы для компрометации административных аккаунтов различных хостинг-провайдеров. Нынешняя атака отличается высокой степенью автоматизации: все вредоносные действия происходят с интервалом в считанные секунды.
Алгоритм действий злоумышленников четко структурирован. Сначала они обеспечивают себе постоянное присутствие в системе путем создания типовых учетных записей. Затем следуют изменения конфигурации для предоставления VPN-доступа этим новым пользователям. Завершающим этапом становится кража (эксфильтрация) конфигурационных файлов межсетевого экрана, что может раскрыть структуру сети и правила безопасности организации.
Для маскировки своей деятельности хакеры используют неприметные имена учетных записей, которые сложно отличить от легитимных служебных аккаунтов. В списке индикаторов компрометации (IoC) значатся следующие имена пользователей: «secadmin», «itadmin», «support», «backup», «remoteadmin» и «audit». Наличие таких новых пользователей в системе без ведома администраторов является прямым признаком взлома.
Эксперты также выделили конкретные IP-адреса, с которых осуществляются атаки. Администраторам безопасности рекомендуется немедленно заблокировать трафик с адресов: 104.28.244.115, 104.28.212.114, 217.119.139.50 и 37.1.209.19. Эти сетевые индикаторы являются ключевыми для настройки правил фильтрации и предотвращения вторжений.
Особую тревогу вызывает тот факт, что атаки происходят даже на полностью обновленных устройствах. Пользователь на платформе Reddit сообщил, что команда разработчиков Fortinet подтвердила сохранение уязвимости даже в версии 7.4.10, фактически оставляя системы незащищенными. Издание The Hacker News обратилось к представителям Fortinet за разъяснениями, однако на момент публикации отчета официальных комментариев от вендора не поступило.
Единственным надежным способом защиты на данный момент является отключение уязвимой функции. Специалисты настоятельно рекомендуют администраторам немедленно деактивировать настройку «admin-forticloud-sso-login» в конфигурациях устройств, чтобы перекрыть вектор атаки до выпуска полноценного исправления.
