Компания Arctic Wolf, специализирующаяся на кибербезопасности, начала фиксировать активные вторжения, связанные со злонамеренными входами через единый вход (SSO), начиная с 12 декабря 2025 года. Эти атаки нацелены на устройства FortiGate и используют критические уязвимости, о которых Fortinet предупредила тремя днями ранее. Данные уязвимости, получившие идентификаторы CVE-2025-59718 и CVE-2025-59719, позволяют злоумышленникам обходить аутентификацию SSO с помощью специально сформированных сообщений SAML.
Описание
Уязвимости затрагивают несколько продуктов компании, включая FortiOS, FortiWeb, FortiProxy и FortiSwitchManager. Однако для успешной атаки на устройстве должна быть активирована функция входа через FortiCloud SSO. По данным Fortinet, эта функция по умолчанию отключена в заводских настройках. Тем не менее, она может быть автоматически включена в процессе регистрации устройства через графический интерфейс, если администратор не снял соответствующую галочку.
В ходе наблюдаемых инцидентов злоумышленники выполняли вход под учетной записью администратора с IP-адресов, принадлежащих ограниченному кругу хостинг-провайдеров, таких как The Constant Company LLC, BL Networks и Kaopu Cloud HK Limited. Специалисты Arctic Wolf предоставили список индикаторов компрометации, включающий семь конкретных IP-адресов. После успешного входа злоумышленники экспортировали конфигурации устройств на те же внешние адреса, что явно указывает на кражу критически важных данных.
Кража файлов конфигурации представляет серьезную угрозу, поскольку в них хранятся хэши учетных данных. Хотя пароли хэшированы, злоумышленники могут взламывать их офлайн, особенно если используются слабые пароли, уязвимые для словарных атак. Поэтому Arctic Wolf настоятельно рекомендует всем, кто обнаружил подобную активность в своих журналах, немедленно сбросить все учетные данные на затронутых устройствах.
Основной рекомендацией для защиты является немедленное обновление прошивок до исправленных версий. Для каждой линейки продуктов Fortinet выпустила патчи. Например, для FortiOS 7.6 необходимо установить версию 7.6.4 или выше, а для FortiProxy 7.4 - версию 7.4.11. Важно отметить, что некоторые более старые версии, такие как FortiOS 6.4, не подвержены данным уязвимостям.
В качестве временного решения до обновления Fortinet советует отключить функцию входа через FortiCloud SSO. Это можно сделать в графическом интерфейсе в разделе "System -> Settings" или с помощью команды в интерфейсе командной строки. Кроме того, эксперты по безопасности напоминают о фундаментальной практике ограничения доступа к интерфейсам управления сетевыми устройствами. Доступ к панелям управления брандмауэров и VPN-шлюзов должен быть строго ограничен доверенными внутренними сетями.
| 1 2 3 | config system global set admin-forticloud-sso-login disable end |
Arctic Wolf подчеркивает, что атаки на интерфейсы управления сетевыми устройствами стали распространенной тактикой в последние годы. Злоумышленники часто используют специализированные поисковые системы для сканирования интернета на наличие уязвимых систем. Регулярное обновление программного обеспечения, применение принципа минимальных привилегий и мониторинг подозрительной активности остаются ключевыми мерами защиты. Компания продолжает отслеживать ситуацию и уведомлять своих клиентов о новых случаях эксплуатации данных уязвимостей.
Индикаторы компрометации
IPv4
- 167.179.76.111
- 199.247.7.82
- 38.54.88.203
- 38.54.95.226
- 38.60.212.97
- 45.32.153.218
- 45.61.136.7
