Компания Fortinet выпустила экстренное предупреждение о высокой степени опасности, касающееся уязвимости в определенных версиях своей операционной системы FortiOS. Ошибка, получившая идентификатор CVE-2026-22153, потенциально позволяет неавторизованным злоумышленникам обходить механизмы аутентификации. Следовательно, это может предоставить им доступ к критически важным сетевым ресурсам.
Детали уязвимости
Уязвимость кроется в демоне "fnbamd", компоненте, отвечающем за обработку запросов на аутентификацию в межсетевом экране Fortigate. При определенных конфигурациях эта ошибка позволяет злоумышленнику обойти аутентификацию по протоколу LDAP (Lightweight Directory Access Protocol). В частности, это затрагивает Agentless VPN и политики единого входа Fortinet Single Sign-On (FSSO).
Проблема классифицируется как "Обход аутентификации из-за первичной слабости" (Authentication Bypass by Primary Weakness, CWE-305). Она возникает, когда устройство FortiOS взаимодействует с LDAP-сервером, например, Microsoft Active Directory, который сконфигурирован для разрешения "несанкционированных привязок" (unauthenticated binds). В стандартном сценарии межсетевой экран проверяет учетные данные пользователя на LDAP-сервере для предоставления доступа. Однако из-за этой ошибки, если фоновый LDAP-сервер настроен слишком разрешительно, межсетевой экран может некорректно проверить запрос. В результате злоумышленник полностью обходит требование входа в систему.
Fortinet присвоил этой уязвимости оценку CVSSv3 7.5, отнеся ее к категории высокой опасности (High Severity). Успешная эксплуатация может позволить неавторизованному злоумышленнику обойти применение политик для Agentless VPN или FSSO. Это, в свою очередь, может привести к несанкционированному проникновению в сеть или доступу к защищенным ресурсам без действительных учетных данных.
Fortinet настоятельно рекомендует организациям, использующим затронутую ветку программного обеспечения 7.6.x, немедленно обновиться до FortiOS версии 7.6.5 или выше. Если немедленное обновление невозможно, доступен временный обходной путь. Администраторы могут отключить несанкционированные привязки на своем LDAP-сервере. Для сред Windows Active Directory (Server 2019 и новее) это можно принудительно установить через PowerShell, задав для флага "DenyUnauthenticatedBind" значение 1. Данное изменение конфигурации предотвращает принятие LDAP-сервером анонимных подключений, которые делают возможной эту эксплуатацию.
Эксперты по кибербезопасности отмечают, что подобные уязвимости, связанные с неправильной конфигурацией зависимых служб, представляют особую опасность. Они подчеркивают важность комплексного подхода к защите инфраструктуры. Таким образом, безопасность системы определяется не только обновлениями основного программного обеспечения, но и правильной настройкой всех интегрированных компонентов, включая внешние серверы аутентификации.
Данный инцидент служит напоминанием о критической роли управления конфигурациями в рамках модели нулевого доверия (Zero Trust). Регулярный аудит настроек взаимодействующих служб, особенно серверов каталогов, должен быть неотъемлемой частью политики безопасности. Своевременное применение обновлений и исправление известных уязвимостей остается базовым, но важнейшим элементом защиты от угроз.
