В конце прошлого года специалисты по кибербезопасности и производитель сетевого оборудования Fortinet подтвердили наличие критической уязвимости в нескольких ключевых продуктах компании. Проблема, получившая идентификатор BDU:2026-00171 и CVE-2025-59719, затрагивает механизм обработки сообщений SAML (Security Assertion Markup Language) и связана с некорректной проверкой криптографической подписи. Данная уязвимость позволяет удаленному злоумышленнику полностью обойти механизмы аутентификации, что представляет серьезную угрозу для защищаемых систем.
Детали уязвимости
Уязвимость была обнаружена 9 декабря 2025 года и классифицируется как критическая. Ее базовая оценка по шкале CVSS 2.0 достигает максимальных 10 баллов, а по современной CVSS 3.1 - 9,8 баллов. Это указывает на высокую простоту эксплуатации и катастрофические последствия успешной атаки. Более того, по данным Банка данных угроз (BDU), для этой уязвимости уже существует работающий эксплойт (вредоносный код для эксплуатации), что значительно повышает актуальность риска.
Проблема кроется в компоненте SAML Response Message Handler. SAML - это открытый стандарт, широко используемый для обмена данными аутентификации и авторизации между сторонами, например между поставщиком удостоверений и веб-приложением. Недостаточная проверка цифровой подписи входящих SAML-сообщений означает, что злоумышленник может создать специально сформированный поддельный запрос. В результате атакующий может выдать себя за легитимного пользователя, получив несанкционированный доступ к защищенным ресурсам и данным.
Уязвимость затронула широкий спектр продуктов Fortinet, включая их флагманскую операционную систему для межсетевых экранов. В список уязвимого программного обеспечения входят FortiOS версий с 7.0.0 по 7.0.17, с 7.2.0 по 7.2.11, с 7.4.0 по 7.4.8 и с 7.6.0 по 7.6.3. Также под удар попали прокси-сервер для защиты от интернет-атак FortiProxy во всех основных поддерживаемых ветках, межсетевой экран веб-приложений FortiWeb версий 7.4.x, 7.6.x и 8.0.0, а также локальная платформа управления коммутаторами FortiSwitchManager.
К счастью, производитель оперативно отреагировал на угрозу. Уязвимость уже устранена в обновленных версиях программного обеспечения. Компания Fortinet опубликовала официальный бюллетень безопасности под номером FG-IR-25-647, в котором подробно описаны затронутые версии и приведены инструкции по обновлению. Следовательно, единственным надежным способом устранения риска является немедленная установка патчей, предоставленных вендором.
Эксперты отмечают, что подобные уязвимости в компонентах единого входа (Single Sign-On, SSO) особенно опасны. Они ставят под угрозу всю систему контроля доступа, которая строится на доверии к механизму аутентификации. Успешная эксплуатация может открыть путь для дальнейшего движения атакующего по корпоративной сети, сбора конфиденциальной информации или развертывания вредоносной нагрузки (payload), например, шифровальщика (ransomware).
Данный инцидент служит важным напоминанием для всех организаций, использующих продукты Fortinet. Во-первых, необходимо срочно проверить используемые версии ПО на соответствие списку уязвимых. Во-вторых, критически важно наладить регулярный и оперативный процесс обновлений безопасности для всего парка сетевого оборудования. Задержка с установкой патчей в данном случае создает прямой и существенный риск для информационной безопасности компании.
В заключение, уязвимость CVE-2025-59719 демонстрирует классический сценарий реализации угрозы "подмена при взаимодействии". Несмотря на то что производитель уже выпустил исправления, реальная опасность будет сохраняться до тех пор, пока эти обновления не будут применены на всех развернутых системах. Специалистам SOC рекомендуется добавить сигнатуры, связанные с этой уязвимостью, в мониторинг своих систем IDS/IPS для выявления потенциальных попыток атак.
Ссылки
- https://bdu.fstec.ru/vul/2026-00171
- https://www.cve.org/CVERecord?id=CVE-2025-59719
- https://fortiguard.fortinet.com/psirt/FG-IR-25-647
