Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Уязвимости в межсетевых экранах FortiGate становятся трамплином для масштабных атак на корпоративные сети

information security

В первой половине 2026 года эксперты по цифровой криминалистике и реагированию на инциденты (DFIR) компании SentinelOne столкнулись с серией инцидентов, где злоумышленники использовали скомпрометированные межсетевые экраны FortiGate Next-Generation Firewall (NGFW) в качестве плацдарма для проникновения в корпоративные сети. Во всех расследованных случаях атаки были пресечены на этапе горизонтального перемещения, однако угроза демонстрирует тревожную тенденцию: периметровые устройства безопасности сами становятся объектом пристального внимания хакеров. Основной проблемой, затрудняющей расследования, стал недостаточный срок хранения логов на самих устройствах FortiGate, что не позволило точно установить начальный вектор атаки и момент проникновения.

Описание

Компания Fortinet в период с декабря 2025 по февраль 2026 года выпустила исправления для нескольких критических уязвимостей в своих продуктах. Речь идёт о проблемах CVE-2025-59718 и CVE-2025-59719, затрагивающих механизм единого входа (Single Sign-On, SSO) и позволяющих получить несанкционированный административный доступ из-за отсутствия проверки криптографической подписи токенов. Ещё одна уязвимость, CVE-2026-24858, позволяла злоумышленнику авторизоваться на устройстве FortiGate с активированным облачным SSO (FortiCloud SSO), используя свой собственный учётный запись. Успешная эксплуатация этих уязвимостей даёт атакующему возможность извлечь конфигурационный файл устройства, который часто содержит учётные данные сервисных аккаунтов и ценную информацию о топологии сети.

Межсетевые экраны FortiGate, как и другие устройства класса NGFW, имеют широкий доступ к защищаемой среде. Во многих конфигурациях они интегрируются с инфраструктурой аутентификации, такой как Active Directory (AD, служба каталогов Microsoft) или LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам). Это позволяет устройствам сопоставлять роли с конкретными пользователями, что полезно для политик безопасности, основанных на ролях. Однако такой же доступ получает и злоумышленник, скомпрометировавший устройство. Конфигурационные файлы FortiOS используют обратимый метод шифрования, что позволяет атакующему, получившему такой файл, расшифровать и извлечь встроенные в него пароли сервисных аккаунтов.

В одном из расследованных инцидентов (Инцидент 1) компрометация, предположительно, началась ещё в ноябре 2025 года и оставалась незамеченной до февраля 2026. После получения доступа к FortiGate злоумышленник создал на устройстве новую локальную учётную запись администратора с именем "support" и настроил правила фильтрации, разрешающие этому аккаунту трафик между всеми сегментами сети. Такая модель поведения характерна для брокеров начального доступа (Initial Access Broker, IAB), которые создают плацдарм для последующей продажи другим киберпреступным группам. В феврале атакующий, вероятно, извлёк и расшифровал конфигурацию, получив учётные данные сервисного аккаунта "fortidcagent" для доступа к LDAP. Используя эти данные, злоумышленник аутентифицировался в домене с IP-адреса 193.24.211[.]61.

Далее атакующий воспользовался атрибутом AD "mS-DS-MachineAccountQuota", который по умолчанию позволяет стандартной учётной записи присоединить до 10 рабочих станций к домену. Были созданы две несанкционированные рабочие станции с именами "WIN-X8WRBOSK0OF" и "WIN-YRSXLEONJY2". Присоединение контролируемой хакером системы к домену предоставляет больше возможностей для перемещения с меньшим количеством ограничений безопасности. Последующее сканирование сети вызвало срабатывание систем безопасности и остановило дальнейшее продвижение атаки. Эксперты SentinelOne сообщили, что в логах идентификации были зафиксированы массовые неудачные попытки входа, указывающие на атаки методом распыления паролей, исходящие с IP-адреса самого FortiGate.

Во втором инциденте, исследованном в конце января, злоумышленник действовал гораздо агрессивнее. Создав локальную учётную запись "ssl-admin" на FortiGate, он в течение 10 минут получил доступ к нескольким серверам жертвы, используя встроенную учётную запись администратора домена. На одном из серверов атакующий запустил SQL Server Management Studio, возможно, в поисках сохранённых учётных данных. Основной активностью стало развёртывание инструментов удалённого мониторинга и управления (Remote Monitoring and Management, RMM) - Pulseway и MeshAgent. Эти легитимные средства системного администрирования часто используются злоумышленниками для упрочнения своего присутствия в целевой среде.

Инструменты были загружены из облачных хранилищ Google Cloud Storage и Amazon S3, контролируемых атакующим. Для сохранения скрытности в реестре Windows было изменено значение, скрывающее MeshAgent из списка установленных программ. С помощью этих инструментов были созданы задачи планировщика Windows для автоматического запуска. Затем с того же облачного хранилища S3 была загружена вредоносная нагрузка, замаскированная под файлы Java. Используя технику подмены DLL (DLL side-loading), эта нагрузка устанавливала связь с командными серверами на доменах ndibstersoft[.]com и neremedysoft[.]com. С помощью утилиты PsExec вредоносное ПО было выполнено на других серверах сети, включая контроллеры домена.

Кульминацией атаки стало создание теневой копии тома (Volume Shadow Copy) основного контроллера домена и извлечение из неё файла базы данных домена NTDS.dit и куста реестра SYSTEM, содержащих хэши паролей всех учётных записей домена. Файлы были сжаты и, судя по сетевой активности, загружены на инфраструктуру злоумышленника через подключение к IP-адресу Cloudflare. После этого следы были уничтожены.

Оба случая наглядно демонстрируют, что устройства периметра безопасности, особенно те, что имеют интеграцию с корпоративной инфраструктурой идентификации, являются высокоценными целями для злоумышленников любого уровня подготовки. Как отмечают эксперты, рост автоматизации кибератак, в том числе с использованием больших языковых моделей (Large Language Model, LLM), упрощает для менее квалифицированных групп процесс поиска уязвимостей и понимания принципов работы целевых систем. Ключевой проблемой остаётся то, что на такие устройства, как FortiGate, обычно нельзя установить средства защиты конечных точек (Endpoint Detection and Response, EDR). Основной защитой является строгий контроль административного доступа и своевременное обновление программного обеспечения.

Критически важным уроком из этих инцидентов является необходимость адекватного сохранения логов. Расследования SentinelOne были затруднены именно из-за их недостаточного срока хранения на самих устройствах. Организациям рекомендуется хранить логи с межсетевых экранов не менее 14 дней, а в идеале - 60-90 дней. Все логи должны отправляться в систему управления событиями информационной безопасности или аналогичную систему агрегации. Это создаёт неизменяемую запись событий, которую атакующий не сможет удалить после получения доступа к устройству. Современные SIEM-системы с аналитикой поведения пользователей и объектов способны выявлять аномальные действия администраторов, несанкционированное создание учётных записей, доступ к конфигурациям и коммуникацию с командными серверами, позволяя нейтрализовать угрозу на ранних этапах с помощью автоматизированных сценариев реагирования.

Индикаторы компрометации

IPv4

  • 185.156.73.62
  • 185.242.246.127
  • 193.24.211.61

Domains

  • fastdlvrss.s3.us-east-1.amazonaws.com
  • ndibstersoft.com
  • neremedysoft.com

URLs

  • https://fastdlvrss.s3.us-east-1.amazonaws.com/paswr.zip
  • https://storage.googleapis.com/apply-main/windows_agent_x64.msi
Комментарии: 0
Похожие записи
0
28.01.2026
Уязвимости

Критическая уязвимость в продуктах Fortinet позволяет обойти аутентификацию через FortiCloud

vulnerability
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) официально добавило новую критическую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities).
0
11.12.2025
Уязвимости

Критическая уязвимость в продуктах Fortinet позволяет злоумышленникам обходить аутентификацию

vulnerability
Эксперты по кибербезопасности предупреждают о выявлении критической уязвимости в ряде ключевых продуктов компании Fortinet. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2025-15540
0
22.01.2026
Индикаторы компрометации

Критические уязвимости Fortinet активно эксплуатируются для создания скрытого доступа к сетевым устройствам

information security
Киберпреступники ведут массовую атаку, используя критические уязвимости в продуктах Fortinet, чтобы обойти аутентификацию через единый вход (SSO) от FortiCloud. Об этом свидетельствуют данные, собранные с декабря 2025 года.
0
16.01.2026
Уязвимости

Критическая уязвимость в продуктах Fortinet угрожает безопасной аутентификации

vulnerability
В конце прошлого года специалисты по кибербезопасности и производитель сетевого оборудования Fortinet подтвердили наличие критической уязвимости в нескольких ключевых продуктах компании.