Эксперты по кибербезопасности предупреждают о выявлении критической уязвимости в ряде ключевых продуктов компании Fortinet. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2025-15540, затрагивает механизм единого входа FortiCloud SSO. Уязвимость связана с недостатками проверки криптографической подписи в протоколе SAML (Security Assertion Markup Language). Это может позволить удаленному злоумышленнику полностью обойти механизмы аутентификации, отправив специально сконструированные запросы.
Детали уязвимости
Уязвимость получила идентификатор CVE-2025-59718. Ее базовый балл по шкале CVSS 3.1 составляет критические 9.8 из 10, что указывает на высокую потенциальную опасность. Атака не требует от нарушителя специальных привилегий или взаимодействия с пользователем. Успешная эксплуатация позволяет получить полный контроль над системой с возможностью чтения, изменения конфиденциальных данных и нарушения ее работоспособности.
Проблема затронула широкий спектр программного обеспечения Fortinet, включая операционные системы для межсетевых экранов, средства защиты веб-приложений и прокси-серверы. В список уязвимых версий вошли FortiOS начиная с 7.0.0 до 7.0.18, с 7.2.0 до 7.2.12, с 7.4.0 до 7.4.9 и с 7.6.0 до 7.6.4. Также уязвимы межсетевой экран веб-приложений FortiWeb версий 7.4.0-7.4.10, 7.6.0-7.6.5 и все версии до 8.0.1. Прокси-сервер FortiProxy подвержен угрозе в версиях 7.0.0-7.0.22, 7.2.0-7.2.15, 7.4.0-7.4.11 и 7.6.0-7.6.4. Кроме того, уязвимость присутствует в локальной платформе управления сетевыми коммутаторами FortiSwitchManager версий 7.0.0-7.0.6 и 7.2.0-7.2.7.
Производитель уже подтвердил наличие проблемы и выпустил обновления безопасности. Компания Fortinet классифицировала эту уязвимость как критическую в своем бюллетене FG-IR-25-647. Специалисты настоятельно рекомендуют администраторам как можно скорее установить соответствующие патчи. В связи с этим важно отметить, что установку любых обновлений, особенно в текущих геополитических условиях, следует проводить после тщательной оценки всех сопутствующих рисков и только из доверенных источников.
Если немедленное обновление невозможно, эксперты предлагают ряд компенсирующих мер для снижения риска. Наиболее эффективным временным решением является полное отключение функции аутентификации FortiCloud SSO через командную строку устройства. Команды для отключения уже опубликованы в описании уязвимости. Кроме того, рекомендуется использовать средства межсетевого экранирования для строгого ограничения доступа к управляющим интерфейсам уязвимых продуктов. Сегментация сети также поможет изолировать потенциально подверженные угрозе системы.
Для своевременного обнаружения попыток атаки целесообразно настроить мониторинг событий безопасности. В частности, системы класса SIEM (Security Information and Event Management) можно использовать для отслеживания подозрительной активности, связанной с обработкой SAML-запросов. Организация защищенного удаленного доступа через виртуальные частные сети также является стандартной рекомендацией для повышения общей безопасности периметра.
Данная уязвимость демонстрирует классический пример ошибки типа CWE-347, связанной с некорректной проверкой криптографической подписи. Подобные недостатки в реализации протоколов единого входа, таких как SAML, представляют особую опасность. Они позволяют злоумышленникам, включая группы APT (Advanced Persistent Threat, продвинутая постоянная угроза), получать несанкционированный доступ к критически важной инфраструктуре без взлома паролей. Следовательно, эксплуатация может оставаться незамеченной в течение длительного времени.
На текущий момент информация о наличии публичных эксплойтов (exploit), использующих эту уязвимость, уточняется. Однако учитывая ее критический уровень и распространенность продуктов Fortinet в корпоративных сетях по всему миру, можно ожидать повышенного внимания к ней со стороны киберпреступников. Поэтому оперативное применение мер защиты становится первостепенной задачей для всех администраторов, использующих уязвимые версии программного обеспечения.
Таким образом, обнаруженная уязвимость в продуктах Fortinet требует безотлагательных действий. Производитель устранил проблему в обновленных версиях ПО. Своевременная установка патчей или реализация компенсирующих мер является ключевым условием для предотвращения потенциально масштабных инцидентов безопасности. Администраторам следует внимательно изучить официальный бюллетень FG-IR-25-647 и принять решение о дальнейших действиях, исходя из конфигурации своей сети и профиля рисков.
Ссылки
- https://bdu.fstec.ru/vul/2025-15540
- https://www.cve.org/CVERecord?id=CVE-2025-59718
- https://fortiguard.fortinet.com/psirt/FG-IR-25-647
