Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) официально добавило новую критическую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Решение было принято на основании обнаруженных свидетельств активного использования данной уязвимости злоумышленниками в реальных атаках. Идентификатор уязвимости - CVE-2026-24858. Она затрагивает широкий спектр продуктов компании Fortinet, включая операционные системы безопасности FortiOS, а также платформы управления и анализа FortiManager и FortiAnalyzer.
Детали уязвимости
Суть уязвимости классифицируется как «Обход аутентификации с использованием альтернативного пути или канала» (Authentication Bypass Using an Alternate Path or Channel, CWE-288). Проблема заключается в ошибке контроля доступа при использовании единого входа (SSO) через сервис FortiCloud. Согласно описанию, злоумышленник, имеющий учетную запись FortiCloud и хотя бы одно зарегистрированное на ней устройство, потенциально может получить несанкционированный доступ к другим сетевым устройствам, зарегистрированным на аккаунтах других пользователей. Для успешной атаки необходимо, чтобы на целевых устройствах была активирована аутентификация FortiCloud SSO.
Уязвимость получила критический рейтинг опасности по шкале CVSS 3.1 - 9.4 баллов из 10. Высокая оценка обусловлена несколькими факторами. Во-первых, для эксплуатации не требуются специальные привилегии или взаимодействие с пользователем (UI:N). Во-вторых, атака может быть проведена удаленно через сеть (AV:N). В-третьих, последствия успешной компрометации являются максимально серьезными: злоумышленник получает полный контроль над системой, что позволяет ему конфиденциальность (конфиденциальность, C:H), целостность (I:H) и доступность (A:H) данных. Эксперты подчеркивают, что такая уязвимость представляет собой идеальный инструмент для начального проникновения в корпоративную сеть и последующего горизонтального перемещения.
Под угрозой находятся многочисленные версии ключевых продуктов Fortinet. В частности, уязвимы FortiOS начиная с версии 7.0.0 вплоть до 7.6.5, FortiManager и FortiAnalyzer с версий 7.0.0 до 7.6.5. Полный список затронутых выпусков включает все минорные обновления в рамках этих основных веток. Компания Fortinet, как вендор, уже признала проблему и, вероятно, работает над выпуском патчей. Тем временем факт добавления CVE-2026-24858 в каталог KEV является прямым призывом к действию для всех федеральных гражданских агентств США. Согласно директивам CISA, они обязаны устранять подобные уязвимости в строго установленные сроки, обычно составляющие две недели для критических проблем.
Для организаций по всему миру, использующих продукты Fortinet, текущая ситуация требует немедленных мер. Специалисты по кибербезопасности рекомендуют в первую очередь провести аудит своей инфраструктуры на предмет наличия уязвимых версий ПО. Если полное обновление невозможно в кратчайшие сроки, следует рассмотреть возможность временного отключения функции аутентификации FortiCloud SSO на всех устройствах, если это допустимо с точки зрения бизнес-процессов. Кроме того, необходимо усилить мониторинг сетевой активности, обращая особое внимание на нестандартные попытки входа в системы управления с внешних адресов.
Добавление уязвимости в каталог KEV на раннем этапе ее жизненного цикла указывает на высокую активность киберпреступных группировок, которые уже освоили методы ее эксплуатации. Подобные уязвимости, позволяющие обойти аутентификацию, особенно ценны для продвинутых постоянных угроз (APT). Они часто используются для скрытного закрепления в системе (persistence) и доставки вредоносного кода (payload), такого как программы-вымогатели (ransomware) или шпионское ПО. Эксперты напоминают, что продукты Fortinet, будучи критически важными элементами сетевой периметровой защиты, традиционно находятся в фокусе внимания хакеров, что делает оперативное применение исправлений вопросом первостепенной важности.
