Киберпреступники ведут массовую атаку, используя критические уязвимости в продуктах Fortinet, чтобы обойти аутентификацию через единый вход (SSO) от FortiCloud. Об этом свидетельствуют данные, собранные с декабря 2025 года. Уязвимости, получившие идентификаторы CVE-2025-59718 и CVE-2025-59719, позволяют злоумышленникам без каких-либо учетных данных получить права администратора на межсетевых экранах и прокси-серверах компании. Уже 9 декабря 2025 года Fortinet присвоил обеим уязвимостям максимально высокий балл CVSS 9.8, а Агентство кибербезопасности и инфраструктурной безопасности США (CISA) вскоре внесло CVE-2025-59718 в свой каталог известных эксплуатируемых уязвимостей (KEV).
Описание
Проблема коренится в некорректной проверке криптографической подписи (CWE-347) в механизме FortiCloud SSO. Это позволяет неавторизованным злоумышленникам создавать специально сформированные вредоносные (malicious) SAML-сообщения. В результате атаки получают полный административный доступ к интернет-ориентированным устройствам. Под угрозой находятся такие продукты, как FortiOS, FortiProxy, FortiSwitchManager и FortiWeb, но только при активированной опции единого входа через FortiCloud. Важно отметить, что эта функция может быть включена автоматически в процессе регистрации устройства в сервисе FortiCare.
Успешная эксплуатация уязвимостей приводит к созданию на устройстве скрытых учетных записей, например, с именем "helpdesk", или к входу под встроенной учетной записью "admin". Следующим шагом злоумышленники, как правило, экспортируют конфигурацию устройства. Файлы конфигурации содержат хешированные учетные данные, которые впоследствии могут быть взломаны методом перебора, что обеспечивает долгосрочное закрепление (persistence) в системе.
Активность в дикой среде (in-the-wild) резко возросла, начиная примерно с 12 декабря 2025 года. Специалисты компании Arctic Wolf зафиксировали однотипные действия на устройствах FortiGate под управлением версии 7.4.9. Атаки исходили с определенных IP-адресов и включали в себя вход через SSO с последующей загрузкой файлов конфигурации. По оценкам экспертов, в интернете было доступно более 25 000 устройств Fortinet с активированной уязвимой функцией SSO.
Затронуты несколько линеек продуктов. Для FortiOS версии 7.6 уязвимы все сборки от 7.6.0 до 7.6.3, исправление представлено в версии 7.6.4 и новее. В ветке FortiOS 7.4 проблема присутствует в версиях с 7.4.0 по 7.4.8, патч выпущен в 7.4.9. Для прокси-сервера FortiProxy 7.4 исправление необходимо установить на все версии до 7.4.10 включительно, безопасной является версия 7.4.11. Веб-брандмауэр FortiWeb 7.6 требует обновления до версии 7.6.5, так как уязвимы все предыдущие сборки, включая 7.6.4. При этом FortiOS 6.4, а также FortiWeb версий 7.0 и 7.2 не подвержены данным уязвимостям.
Компания Fortinet и эксперты по безопасности настоятельно рекомендуют немедленно принять меры по устранению риска. Первым и самым критичным шагом является отключение функции FortiCloud SSO через интерфейс командной строки (CLI) соответствующей командой.
| 1 2 3 | config system global set admin-forticloud-sso-login disable end |
Далее необходимо в срочном порядке установить предоставленные производителем патчи. Также важно провести аудит журналов событий на предмет появления подозрительных учетных записей администраторов, немедленно сменить все пароли и учетные данные и ограничить доступ к системе управления устройствами только доверенными сетями.
Данная кампания хорошо вписывается в общий тренд, когда объектами целенаправленных атак становятся сетевые устройства. Ранее аналогичным образом эксплуатировались и другие уязвимости Fortinet, такие как CVE-2024-21762. Специалисты Arctic Wolf отмечают, что атакующие активно используют поисковые системы для сканирования и обнаружения exposed-устройств, подчеркивая важность интеграции журналов Fortinet в системы класса SIEM для оперативного оповещения о подозрительных изменениях в учетных записях администраторов.
По состоянию на январь 2026 года эксплуатация уязвимостей продолжается, несмотря на доступность исправлений. Более того, наблюдается эволюция тактик злоумышленников, которые адаптируются к уже обновленным системам. Компании сталкиваются с повышенными рисками, связанными со слабыми конфигурациями механизмов единого входа. Этот инцидент в очередной раз подчеркивает необходимость строгого соблюдения принципа наименьших привилегий и внедрения сегментации на основе модели нулевого доверия (zero-trust). Команда реагирования на инциденты безопасности продуктов Fortinet (PSIRT) под руководством Карла Виндзора продолжает расследование и обещает улучшить детализацию журналов событий в будущих релизах. Эксперты советуют организациям внимательно следить за обновлениями в каталоге CISA KEV и официальными бюллетенями безопасности вендора.
Индикаторы компрометации
IPv4
- 104.28.212.114
- 104.28.244.115
- 217.119.139.50
- 37.1.209.19
Malicious account
- cloud-init@mail.io
- cloud-noc@mail.io
Account created
- secadmin
- itadmin
- support
- backup
- remoteadmin
- audit
