Компания Fortinet объявила о закрытии опасной уязвимости в своём продукте FortiAuthenticator. Проблема затрагивает систему управления доступом и аутентификации, которая широко применяется в корпоративной инфраструктуре. Уязвимость получила наивысший балл критичности по шкале CVSSv3 - 9,8 из 10, что делает её одной из самых серьёзных за последнее время.
Суть проблемы
FortiAuthenticator выполняет функцию централизованного управления учётными записями и политиками доступа. Он часто разворачивается в крупных организациях, государственных учреждениях и телекоммуникационных компаниях. Злоумышленник, не имеющий никаких прав в системе, может отправить специально сформированный запрос к API-интерфейсу продукта и получить возможность выполнить произвольный код или команды на сервере. Причина кроется в недостаточной проверке прав доступа к программным интерфейсам - разработчики не предусмотрели должных ограничений для некоторых конечных точек.
Иными словами, атакующий может обойти механизмы аутентификации и авторизации, закрепиться в системе и получить полный контроль над устройством. После этого под ударом оказываются не только сами данные аутентификации, но и вся сеть, где FortiAuthenticator выступает в роли доверенного посредника. Учитывая, что продукт хранит учётные записи, сертификаты и конфигурации доступа, последствия взлома могут быть крайне серьёзными.
Какие версии уязвимы
Проблема затронула три основные ветки FortiAuthenticator: версии 8.0, 6.6 и 6.5. Разработчики выпустили исправления во всех поддерживаемых линейках. Если ваша организация использует старые сборки, необходимо как можно скорее обновиться:
- FortiAuthenticator 8.0.0 и 8.0.2 - требуется обновление до версии 8.0.3;
- FortiAuthenticator 6.6.0 - 6.6.8 - требуется обновление до версии 6.6.9;
- FortiAuthenticator 6.5.0 - 6.5.6 - требуется обновление до версии 6.5.7.
Важный нюанс: облачная версия FortiAuthenticator Cloud не подвержена уязвимости, поэтому пользователи сервиса "как услуга" могут не предпринимать никаких дополнительных действий.
Как защититься до установки патча
Fortinet предложил временную меру защиты для тех, кто не может сразу обновить продукт. Необходимо отключить доступ к API-интерфейсам для всех открытых интерфейсов. В веб-интерфейсе администратора это делается через раздел "Network → Interfaces → Access Rights". Однако специалисты по безопасности рекомендуют не затягивать с установкой патча: ручное отключение API может нарушить работу легитимных сервисов, которые используют программные интерфейсы для интеграции.
Как была обнаружена уязвимость
Интересно, что проблема была выявлена не внешними исследователями, а внутренней службой аудита Fortinet. Это говорит о зрелости процессов контроля качества в компании: разработчики сами нашли уязвимость до того, как ею успели воспользоваться злоумышленники. На момент публикации бюллетеня о проблеме не было известно ни об одном случае эксплуатации в реальных атаках. Тем не менее критический балл CVSS и простота использования делают её привлекательной целью для киберпреступников.
Почему это важно для бизнеса
FortiAuthenticator - это шлюз к корпоративной инфраструктуре. Через него проходят все запросы на аутентификацию сотрудников и партнёров. Если злоумышленник получает контроль над таким устройством, он может не только похитить учётные данные, но и изменить политики доступа, отключить многофакторную аутентификацию или внедрить подставные сертификаты. В результате под угрозой оказываются все системы, которые полагаются на FortiAuthenticator: VPN-шлюзы, почтовые серверы, корпоративные порталы и приложения.
Для организаций, использующих FortiAuthenticator в качестве RADIUS-сервера (протокол для централизованной аутентификации пользователей), атака может привести к полной компрометации сетевого доступа. Злоумышленник сможет выдавать себя за любого легитимного пользователя, проникать в сегменты сети и передвигаться в ней латерально.
Детали уязвимости
Проблеме присвоен идентификатор CVE-2026-44277. В бюллетене безопасности Fortinet указано, что атака возможна без аутентификации (Unathenticated), то есть злоумышленнику не нужно знать логин, пароль или иметь сессионный токен. Ему достаточно отправить вредоносные запросы к API. Вектор атаки - сетевой, то есть для эксплуатации необходимо, чтобы злоумышленник имел доступ к сетевому интерфейсу устройства. Однако если FortiAuthenticator опубликован в интернете (что нередко встречается на практике, хотя и не рекомендуется), то атака может быть проведена из любой точки мира.
Класс уязвимости - Improper Access Control (некорректный контроль доступа). Это означает, что программные интерфейсы не проверяют, имеет ли запрашивающий субъект право на выполнение тех или иных действий. Команды исполняются с привилегиями самого приложения, которые обычно очень высоки. В результате атакующий может не только выполнить произвольный код, но и записать свои скрипты, изменить конфигурацию или выгрузить базу данных с паролями.
Рекомендации для специалистов
Ситуация требует немедленных действий. В первую очередь необходимо провести инвентаризацию всех установленных экземпляров FortiAuthenticator и проверить их версии. Если найдены уязвимые сборки - обновить их до указанных выше версий. Обновление следует выполнять в запланированное окно технического обслуживания, так как продукт является критически важным для аутентификации. При невозможности обновления временно отключить API-доступ на всех интерфейсах, кроме доверенных внутренних сетей.
Дополнительно рекомендуется ограничить сетевой доступ к устройству только с доверенных подсетей, настроить систему обнаружения вторжений (IDS - система выявления атак) на аномальные запросы к API, а также включить подробное логирование. После обновления следует проверить корректность работы всех интегрированных систем.
Общие выводы
Критическая уязвимость в FortiAuthenticator - ещё одно напоминание о важности своевременного обновления программного обеспечения. Даже крупные вендоры с собственными службами аудита не застрахованы от ошибок в контроле доступа. Однако в данном случае у специалистов есть все инструменты для защиты: патчи уже доступны, а временная мера описана. Главное - не откладывать внедрение обновлений, потому что интерес злоумышленников к таким уязвимостям растёт с каждым днём, и рано или поздно эксплуатация может начаться.
Ссылки
