Fortinet выпустила обновления безопасности для платформы управления событиями безопасности FortiSIEM и её Windows-агента. Исправлены две уязвимости, одна из которых позволяет неавторизованному злоумышленнику выполнить произвольный код на устройствах под управлением Windows, если включена функция "Supers Override". Вторая уязвимость, связанная с межсайтовым скриптингом, требует авторизации, но может быть использована привилегированным администратором для выполнения несанкционированных команд.
Детали уязвимостей
Первая уязвимость зарегистрирована под идентификатором CVE-2026-59841. Она относится к категории CWE-923 - "Некорректное ограничение канала связи до заданных конечных точек". Проблема затрагивает Windows-агент FortiSIEM версий 7.4.0 и 7.4.1. Суть заключается в механизме переопределения адреса супервизора через функцию "Supers Override". При её активации агент может принять подставной хостнейм подконтрольного злоумышленнику устройства. Поскольку проверка подлинности сервера-супервизора не выполняется, атакующий, находящийся в одной локальной сети, способен сфабриковать ответы и заставить агент подключиться к вредоносному узлу. В результате возможна удалённая эксплуатация: злоумышленник может выполнить произвольный код на целевом Windows-устройстве без какой-либо предварительной аутентификации.
Риск усугубляется тем, что для атаки не требуется учётных данных пользователя или администратора. Единственное условие - физический или логический доступ к сегменту сети, где работает агент. В корпоративных средах, где функция "Supers Override" используется для гибкой маршрутизации событий, подобная конфигурация повышает уязвимость. CVSSv3-оценка данной проблемы составляет 6,9 балла (уровень Medium), однако влияние классифицируется как повышение привилегий: успешная атака может привести к полному контролю над хостом.
Вторая уязвимость представляет собой межсайтовый скриптинг (XSS) в параметре Domain веб-интерфейса FortiSIEM. Ей присвоена классификация CWE-80 - "Некорректная нейтрализация скрипто-зависимых HTML-тегов в веб-странице (базовый XSS)". Проблема затрагивает более широкий спектр версий: от 6.4 до 7.4.0 включительно. Для её эксплуатации злоумышленник должен обладать правами привилегированного администратора. Атакующий может отправить специально сформированный запрос с вредоносным кодом, который при обработке веб-интерфейсом выполнит несанкционированные команды. Хотя для атаки требуется аутентификация, риски остаются существенными, особенно в средах с большим числом администраторов. CVSSv3-оценка этой проблемы - 5,3 балла.
Fortinet отметила исследователей, обнаруживших обе уязвимости. За отчёт по CVE-2026-59841 компания поблагодарила Николу Скрэмина из команды ScreSys. Вторую проблему выявил Анис Мессауди из банка CPA Bank. Оба отчёта поступили в рамках программы ответственного раскрытия, что позволило выпустить исправления до публичного обсуждения.
Для защиты от первой уязвимости Fortinet рекомендует немедленно обновить Windows-агент до версии 7.4.2 или выше, если используется ветка 7.4. Другие версии агента (7.5, 7.3, 7.2, 7.1, 5.0, 4.4, 4.3, 4.2) не подвержены. В качестве временной меры можно включить опцию "Verify Host TLS/SSL certificate" при установке или переустановке агента на Windows. Эта настройка заставит агент проверять сертификат сервера-супервизора, что затруднит подмену. Однако полноценным решением является обновление.
Для второй уязвимости перечень версий, требующих обновления, обширен: FortiSIEM 7.4.0, 7.3.0-7.3.4, 7.2.0-7.2.6, а также все выпуски веток 7.1, 7.0, 6.7, 6.6, 6.5 и 6.4. Для более старых версий предусмотрена миграция на поддерживаемый релиз. Разработчик рекомендует перейти на FortiSIEM 7.4.1 (для 7.4.0), 7.3.5 (для 7.3.x) или 7.2.7 (для 7.2.x). Пользователям версий 7.1 и старше необходимо запланировать миграцию на актуальную ветку, так как прямых патчей для них не выпущено.
Обе уязвимости не являются сложными с точки зрения эксплуатации, но их сочетание - удалённый код через сетевую подмену и XSS для администраторов - расширяет поверхность атаки. FortiSIEM широко используется в корпоративном и государственном секторах для мониторинга ИБ-событий. Агенты часто устанавливаются на критичных рабочих станциях и серверах, поэтому задержка с установкой патчей может привести к компрометации внутренней сети.
Выпуск обновлений от Fortinet в середине июля 2026 года продолжает тренд на устранение уязвимостей, связанных с недостаточной проверкой аутентификации в сетевых компонентах SIEM-систем. Ранее подобные проблемы закрывались в продуктах конкурентов, и Fortinet оперативно реагирует на сообщения исследователей. Организациям рекомендуется внести исправления в план управления обновлениями и провести ревизию конфигураций Windows-агентов на предмет включения функции "Supers Override".
Ссылки