Уязвимость в FortiGate позволила злоумышленникам незаметно проникнуть в сеть до активации VPN

Уязвимость CVE-2025-59718 была раскрыта Fortinet в декабре 2025 года и затрагивает ряд устройств FortiGate. Она позволяет обойти аутентификацию по протоколу единого входа, что в теории открывает путь к несанкционированному административному доступу к веб-интерфейсу устройства. Однако до сих пор не было подробных публичных отчётов о том, как именно эта уязвимость используется в реальных атаках. Расследование Rapid7 заполняет этот пробел, детально описывая цепочку действий злоумышленников после успешного проникновения на межсетевой экран.

Первые подозрительные активности внутри сети, которые привлекли внимание аналитиков, были связаны с этапом разведки. Злоумышленники начали с перечисления учётных записей пользователей, систем и общих ресурсов в каталогах. Вскоре после этого последовал доступ к сетевым папкам по протоколу SMB и выгрузка файлов. Хотя такие действия внешне могут напоминать рутинную работу администратора, их хронологическая последовательность и контекст чётко указывали на первоначальную фазу исследования инфраструктуры жертвы. Для сбора учётных данных атакующие использовали известный инструмент Mimikatz, что является стандартной практикой для получения привилегий доступа к учётным записям с правами администратора.

Обладая украденными учётными данными, злоумышленники начали перемещаться по сети, используя легитимные административные инструменты, такие как PsExec и удалённый рабочий стол (RDP), а также стандартные веб-браузеры для доступа к приложениям. Их интересовали системы, обеспечивающие максимальный контроль над средой: платформы виртуализации, контроллеры доменов и серверы резервного копирования. Компрометация таких целей позволяет не только получить доступ к конфиденциальным данным, но и затруднить восстановление после атаки, например, при запуске программ-вымогателей. Однако ключевой загадкой для специалистов Rapid7 оставался первоначальный вектор проникновения (Initial Access Vector, IAV).

Расследование приняло неожиданный оборот, когда выяснилось, что первый вход в Windows-среду был выполнен с внутреннего IP-адреса, не входившего в известные диапазоны корпоративной сети. Более того, этот адрес принадлежал пулу DHCP самого устройства FortiGate. Изначально это могло быть списано на легитимную активность через VPN, но дальнейшая проверка показала, что SSL VPN на данном межсетевом экране никогда не был включён. Это открытие сделало FortiGate основным подозреваемым в роли точки входа.

При детальном изучении логов и конфигурации FortiGate были обнаружены следы изменений, которые не могли быть санкционированы. Компонент SSL VPN был принудительно активирован, а в конфигурации устройства появились новые правила межсетевого экрана и изменения параметров. Как следует из отчёта Rapid7, в системных журналах FortiGate эти действия были зафиксированы как редактирование настроек VPN и добавление политик с внешних IP-адресов. Самым тревожным индикатором стало создание на устройстве нескольких новых административных учётных записей, включая аккаунты SSO-администраторов, привязанные к доменам forticloud.com и подозрительным доменам, размещённым на Namecheap.

Работая в обратном хронологическом порядке, аналитики установили, что до создания учётных записей злоумышленники выгрузили через веб-интерфейс полный конфигурационный файл FortiGate. Для атакующего такой файл - это настоящая карта сети, раскрывающая её архитектуру, настройки аутентификации и взаимосвязи между системами. Сессия, связанная с этой выгрузкой, была установлена с внешнего IP-адреса, помеченного поставщиками услуг безопасности как вредоносный, с использованием уже существующей локальной учётной записи на устройстве. Корреляция всей этой активности позволила выявить истинную точку входа: успешные административные входы по протоколу SSO в FortiGate с валидными учётными данными примерно за две недели до обнаружения внутренней активности. При этом следов подбора паролей (брут-форса) обнаружено не было, что указывает на использование уязвимости CVE-2025-59718 для обхода аутентификации.

Отдельные действия - изменение конфигурации, создание учётных записей, выгрузка файлов - могут казаться безобидными. Однако в совокупности и в определённой последовательности они сформировали чёткую картину эксплуатации уязвимости для закрепления в системе. После этой подготовительной работы атакующие начали входить в корпоративную сеть через созданные ими же SSL VPN-подключения, превратив межсетевой экран в надёжную точку входа. Этот инцидент наглядно иллюстрирует распространённую в расследованиях ситуацию, когда первое обнаруженное подозрительное событие редко является началом атаки. Специалистам по реагированию часто приходится начинать работу с середины цепочки, реконструируя поведение злоумышленника и последовательно раскрывая слои его активности, чтобы добраться до исходной точки компрометации.

Главный вывод для специалистов по безопасности заключается в критической важности мониторинга периметровых устройств. Межсетевые экраны, VPN-шлюзы и другие edge-устройства, будучи критически важной инфраструктурой, часто оказываются в слепой зоне с точки зрения полноценного сбора и анализа логов по сравнению с рабочими станциями и серверами. Внедрение централизованного сбора системных журналов (syslog) с таких устройств может закрыть эти пробелы в видимости, предоставив аудиторский след попыток подключения, изменений конфигурации и сигнатур потенциальных эксплуатаций ещё до того, как угроза проникнет во внутреннюю сеть. Эффективное расследование требует не только методичного углубления в детали, но и сохранения общего, хронологического взгляда на картину происшествия, где разрозненные артефакты складываются в последовательность действий злоумышленника.

IPv4

• 103.20.235.155
• 104.28.227.105
• 185.175.59.238
• 185.219.157.127
• 198.98.54.209
• 23.163.8.21
• 42.200.230.178
• 45.32.216.250
• 45.80.184.229
• 45.80.184.241
• 45.80.186.84
• 45.84.107.17