Компания Fortinet опубликовала данные о критической уязвимости в своих продуктах FortiOS и FortiSwitchManager. Проблема, получившая идентификатор CVE-2025-25249, представляет собой переполнение буфера в куче (heap-based buffer overflow, CWE-122) в демоне "cw_acd". Этот компонент отвечает за работу с сетевыми соединениями и управление доступом в устройствах безопасности Fortinet. Уязвимость получила высокий балл 7.4 по шкале CVSS v3.1, что указывает на серьёзную угрозу для корпоративной инфраструктуры.
Детали уязвимости
Специалисты Fortinet обнаружили уязвимость в ходе внутренних проверок, присвоив ей внутренний идентификатор FG-IR-25-084. Информация о проблеме была впервые опубликована 13 января 2026 года, после чего началась активная работа по выпуску исправлений. Злоумышленник, имеющий доступ к сети, может отправить специально созданный запрос для активации переполнения буфера. В результате он получает возможность выполнить произвольный код на уязвимой системе, не проходя процедуру аутентификации. Особую опасность представляет тот факт, что для атаки не требуются учётные данные, а сложность эксплуатации оценивается как низкая. Следовательно, устройства с интерфейсами, доступными из интернета, находятся в зоне повышенного риска.
Компания уже выпустила необходимые обновления для уязвимых версий программного обеспечения. В частности, пользователям FortiOS 7.6 необходимо установить версию 7.6.4 или новее. Для ветки 7.4 требуется обновление до версии 7.4.9. Администраторам систем на FortiOS 7.2 нужно перейти на 7.2.12, а для версии 7.0 актуальным патчем является 7.0.18. Для устаревшей ветки FortiOS 6.4 исправление будет доступно в предстоящем релизе 6.4.17.
Уязвимость также затрагивает FortiSwitchManager. Пользователям версий 7.2.0-7.2.6 следует обновиться до 7.2.7. Для версии 7.0 актуальным патчем является 7.0.6 или выше. В облачном сервисе FortiSASE проблема была устранена. Клиенты, использующие версию 25.2.b, автоматически защищены в релизе 25.2.c. Пользователям версии 25.1.a необходимо выполнить миграцию на исправленные сборки. Более ранние версии FortiSASE не подвержены данной уязвимости.
Для организаций, которые не могут немедленно установить обновления, Fortinet рекомендует временные методы смягчения угрозы. Во-первых, можно удалить настройку "fabric" с затронутых интерфейсов. Во-вторых, следует ограничить доступ к протоколу CAPWAP-CONTROL с помощью политик локального фаервола (local-in firewall policies). Дополнительно администраторы могут отключить перечисление служб fabric в конфигурации интерфейсов. Также эффективной мерой является блокировка UDP-портов 5246-5249 через правила фаервола.
Учитывая высокую степень серьёзности и возможность удалённой эксплуатации, специалисты по кибербезопасности настоятельно рекомендуют приоритизировать установку патчей. Для этого следует использовать официальный инструмент обновления от Fortinet. Параллельно командам безопасности (SOC) необходимо тщательно анализировать логи фаерволов на предмет подозрительных запросов к демону "cw_acd". Кроме того, требуется мониторинг устройств Fortinet на предмет индикаторов несанкционированного выполнения кода (unauthorized code execution). Своевременное применение исправлений и мониторинг активности являются ключевыми шагами для защиты сетевой инфраструктуры от потенциальных атак.
